A SecurityFocus é o site por excelência para os interessados em segurança informática. Nele existe muita informação para absorver sobre o assunto, desde as mais variadas mailing lists como a carismática Bugtraq, notícias e artigos técnicos sobre as últimas novidades.No entanto o site já viveu melhores dias já que por vezes sou confrontado com artigos técnicos que de novo nada possuíem. È o caso deste artigo intitulado "Cisco SNMP configuration attack with a GRE tunnel".
Os Autores pretendem demonstrar como é trivial sniffar uma rede explorando o protocolo SNMP. È sabido que o SNMP assenta sobre UDP e este tipo de transporte não possuí mecanismos de sincronização ou controlo como é o caso do TCP onde existem valores de SEQ/ACK que se têm de se "respeitar". Portanto, spoofar um pacote UDP já se faz à 2 décadas e não se precisa de aplicações externas como editores de hexadécimal e geradores de pacotes para se o conseguir, apenas 5 minutos de código.
Mas de todo o cenário montado para a demonstração há algo deveras muito teórico, é que para fazer o request da nova configuração do router ao servidor TFTP o atacante tem de saber a string da community que possuí permissões de escrita e quais os IP´s da rede interna (tendo em conta a access-list da community). Os autores ainda tentar disfarçar este "pormenor" com esta frase:
"The skeptics among us are probably saying, "How would the attacker know about the access list / SNMP RW community name in the first place?" This could be done with a simple brute force attack, not only with SNMP community names, but also with source IP addresses, and such a tool already exists."
A ferramenta existe, gostava era de saber a taxa de sucesso da mesma sobre um SNMP configurado com a segurança em mente. Mas ataques bruteforce podem-se fazer a todos os serviços não?
Também nao percebi porque é que os autores produziram o ataque usando 2 laptops e um cisco dando a ideia que é preciso algum investimento no hardware. Um laptop com um linux instalado com ip-alias e um tunnel GRE configurados teria o mesmo efeito.
Na minha opinião os Autores andaram estes anos todos a tirar demasiadas certificações da Cisco e perderam alguns tópicos básicos de segurança durante esses anos.
