作者：知道創(chuàng)宇404實驗室

1. 更新情況

2. 事件概述

SNMP協(xié)議[1]，即簡單網(wǎng)絡管理協(xié)議（SNMP，Simple Network Management Protocol），默認端口為 161/UDP，目前一共有3個版本：V1，V2c，V3。V3是最新的版本，在安全的設計上有了很大改進，不過目前廣泛應用的還是存在較多安全問題的V1和V2c版本。SNMP協(xié)議工作的原理簡單點來說就是管理主機向被管理的主機或設備發(fā)送一個請求，這個請求包含一個community和一個oid。oid就是一個代號，代表管理主機這個請求想要的信息。被管理的主機收到這個請求后，看請求community是否和自己保存的一致，如果一致，則把相應信息返回給管理主機。如果不一致，就不會返回任何信息。所以community相當與一個認證的口令。V1和V2c版本的SNMP協(xié)議都是明文傳輸數(shù)據(jù)的，所以可以通過抓包嗅探等手段獲取認證需要的community。

2018年12月25日，Seebug 平臺收錄了多個基于SNMP協(xié)議的敏感信息泄露漏洞[2]。在多種廠商提供的網(wǎng)關類設備中，可以使用任意 community非常容易地讀取SNMP提供的明文形式的的Web管理系統(tǒng)的用戶名和密碼、Wi-Fi憑證等信息。也可以使用任意community通過SET協(xié)議指令發(fā)送配置更新或控制請求，攻擊者可以注入惡意的配置，如在Cisco DPC3928SL通過注入SSID造成Web管理系統(tǒng)的XSS（CVE-2018-20379）。

該漏洞最早于 2017 年 4 月 4 日曝出，CVE編號為CVE-2017-5135，漏洞發(fā)現(xiàn)者將該漏洞稱之為 Stringbleed[3]。2018年12月22日，時隔一年多，漏洞發(fā)現(xiàn)者進行全球探測后提供了一個很全的漏洞影響列表，其中包含23個不同廠商78個不同型號的網(wǎng)關設備，同時申請了多個CVE編號（CVE-2018-20380～CVE-2018-20401）。關于漏洞的成因一直都在爭論之中，截止目前依然沒有最終定論[4]。該類設備一般由ISP提供，我們暫時沒有找到漏洞設備或固件對漏洞原理進行研究。根據(jù)社區(qū)的討論結果，產(chǎn)生該漏洞的原因可能有以下幾種情況：

• 這些存在漏洞的設備使用了同一個存在邏輯缺陷的SNMP協(xié)議實現(xiàn)，該實現(xiàn)代碼沒有正確處理 community 字符串認證，導致任意 community 均可以通過認證，進一步導致敏感信息泄露。
• ISP 配置錯誤，無效的訪問控制規(guī)則。

本文不包含漏洞分析，而是針對全球該類設備漏洞存在情況的數(shù)據(jù)分析報告。

3. 漏洞復現(xiàn)

直接使用 snmpget 命令發(fā)送 SNMP GET 請求即可， -c 選項指定任意字符串作為 community 均可通過認證。

snmpget -v 1 -c public $IP iso.3.6.1.2.1.1.1.0 snmpget -v 1 -c '#Stringbleed' $IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 snmpget -v 1 -c '#Stringbleed' $IP iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0

復現(xiàn)結果如下：

如果目標設備開放了Web服務，則可使用泄露的用戶名和密碼登陸Web管理系統(tǒng)，如下：

值得一提的是，用戶名和密碼存在為空的情況。

發(fā)送 SNMP SET 請求進行配置更新，-c 選項指定任意 community。如下所示，我們通過snmpset修改了 Web 系統(tǒng)用戶名。

4. 漏洞影響范圍

我們通過提取漏洞設備相關的“關鍵詞”，在ZoomEye網(wǎng)絡空間搜索引擎[5]上共發(fā)現(xiàn)了1,241,510個 IP數(shù)據(jù)。

通過使用 zmap 對這 124 萬的IP數(shù)據(jù)進行存活檢測，發(fā)現(xiàn)約有 23 萬的IP 存活。進一步對存活的 23 萬IP進行漏洞存在檢驗，發(fā)現(xiàn)有15882 個目標設備存在該敏感信息泄露漏洞，涉及23個廠商的多個型號設備的多個固件版本。

對這 15882 個漏洞設備的信息進行聚合，得到廠商及版本等統(tǒng)計信息如下（各個型號的ZoomEye dork 為: Vendor +Model +相應型號，如搜索DPC3928SL的語法為：Vendor +Model +DPC3928SL）

漏洞設備的廠商分布餅圖如下（有一點需要說明的是，DPC3928SL網(wǎng)關設備屬于受此漏洞影響最嚴重的網(wǎng)絡設備之一，原來屬于Cisco公司， 現(xiàn)在屬于Technicolor。）

國家分布前十如下，主要分布在中國、泰國、韓國等國家。

中國存在漏洞的設備全部分布在廣東、臺灣兩個省份，呈現(xiàn)一定的地域性。其中廣東最多，為6318 臺。

進一步分析發(fā)現(xiàn)，在原全球124萬161/udp 端口的該類設備IP數(shù)據(jù)中，屬于中國的幾乎全部分布在廣東省和臺灣省，其他省份基本上沒有探測到公網(wǎng)上該類設備端口開放（運營商禁用了SNMP服務或者沒有使用同類設備？）。

廣東省受影響的設備的ISP分布如下，98% 以上歸屬于 “珠江寬頻/聯(lián)通“ 這個ISP，存在漏洞的設備大部分為Technicolor CWA0101 Wireless Gateway ，version ：gz5.0.2。

臺灣的181臺漏洞設備都歸屬于ISP：http://twmbroadband.com，存在漏洞的設備大部分為Ambit T60C926。結合以上數(shù)據(jù)分析，我們斷定中國存在該漏洞設備的地理分布和當?shù)氐腎SP有很大關系。

針對所有存在該漏洞的設備，我們統(tǒng)計了憑證的使用情況，如下：

常用用戶名，主要包含admin、login、user、dlink等。

常用密碼，主要包含 admin、password、dream01、空、br0adband、gzcatvnet、user、Broadcom、dlink、ambit、root等，大部分為常見的弱密碼。

非常有意思的是，我們發(fā)現(xiàn)以下使用次數(shù)最多的用戶名密碼組合，和使用該憑證組合最多的漏洞設備，以及漏洞設備所在的國家，都存在一定的關聯(lián)性。

（如第一行記錄：中國所有含有該漏洞的設備中約有 5502 臺都使用了 admin:admin 憑證，且受影響設備型號數(shù)量最多的為 Technicolor/CWA0101。）

5. 總結

基本可以肯定的是，這不是SNMP協(xié)議本身的問題，而是協(xié)議的實現(xiàn)代碼存在漏洞或者ISP配置錯誤。該漏洞影響廠商、設備型號非常多，且呈現(xiàn)出一定的區(qū)域性。

路由器、Modem、攝像頭等IoT設備的信息泄露漏洞層出不窮，對個人隱私造成極大的威脅，關閉非必要的端口或者使用防火墻限制非法訪問是個值得考慮的舉措。

系統(tǒng)的安全性往往取決于最短的那塊木板-“木桶效應”，通過SNMP協(xié)議泄露HTTP服務憑證很好的說明了這一點。

用戶可根據(jù)PoC自行驗證設備是否存在漏洞，如果存在漏洞可聯(lián)系相應的ISP尋求解決方案。

6. 相關鏈接

[1] SNMP 協(xié)議https://baike.baidu.com/item/SNMP/133378?fr=aladdin

[2] Seebug 漏洞收錄https://www.seebug.org/vuldb/ssvid-97741https://www.seebug.org/vuldb/ssvid-97742https://www.seebug.org/vuldb/ssvid-97736

[3] Stringbleed
https://stringbleed.github.io/#

[4] 關于該漏洞的討論https://www.reddit.com/r/netsec/comments/67qt6u/cve_20175135_snmp_authentication_bypass/

[5] ZoomEye網(wǎng)絡空間搜索引擎https://www.zoomeye.org/searchResult?q=MODEL%20%2BVENDOR%20%2Bport%3A%22161%22

[6] SNMP 歷史漏洞參考http://drops.the404.me/1033.html

---

本文由 Seebug Paper 發(fā)布，如需轉載請注明來源。

歡迎關注我和專欄，我將定期搬運技術文章～

也歡迎訪問我們：知道創(chuàng)宇云安全

總結

以上是生活随笔為你收集整理的配置snmp_多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。