Un gruppo di universitari finlandesi ha da poco reso pubblica una serie di nuovi bug nel protocollo Snmp. Secondo la massima autorità in materia, il Certo dell’università Carnegie-Mellon, il loro sfruttamento da parte di eventuali pirati potrebbe mettere in pericolo l’intero “sistema Internet”.
Snmp, sigla per Simple Network Management Protocol, è un protocollo molto diffuso che viene utilizzato per il controllo e la gestione dei dispositivi di rete. Di Snmp esistono varie versioni, molte delle quali sperimentali, ma è quella contrassegnata dal numero uno ad essere la più utilizzata e, in questo caso, ad avere i problemi di security segnalati dai più autorevoli centri di gestione degli incidenti. SnmpV1 definisce una serie di messaggi che sono utilizzati nelle cosiddette information queries (richieste di informazioni), modifiche di configurazioni, definizione degli oggetti Snmp e allarmi di vario genere.
L’allarme Snmp è partito da una segnalazione delle scorse settimane, in cui un gruppo di ricercatori denominato Ouspg (The Oulu University Secure Programming Group) ha dimostrato come numerose implementazioni di agenti e manager consentano ad attacker remoti di prendere il possesso dei target con varie modalità. Una di queste riguarda il modo in cui il protocollo Snmp gestisce le trap. Queste ultime sono in grado, tra l’altro, di segnalare allarmi relativi a condizioni di errore o di instabilità degli agenti. In un colloquio tra master ed agenti, i primi gestiscono la decodifica dei messaggi trap ed il processing dei dati relativi. Utilizzando un determinato tipo di strumento di testing, i ricercatori hanno notato che molti di questi metodi di decodifica hanno delle vulnerabilità.
Un altro problema riguarda i metodi con i quali l’Snmp gestisce le richieste provenienti dai sistemi di gestione agli agent. Dette richieste avvengono mediante dei messaggi denominati Snmp request messages. Il loro fine è quello di richiedere direttamente determinate informazioni o istruire gli agenti a configurare il dispositivo ove sono installati. In questo caso sono gli agenti a decodificare le istruzioni e a processare i dati. Utilizzando la stessa metodica di testing e i medesimi strumenti, i ricercatori Ouspg hanno dimostrato l’esistenza delle medesime vulnerabilità, sul versante opposto.
Le conseguenze di queste scoperte
Come abbiamo appena detto, le vulnerabilità che sono state scoperte riguardano sia la fase di decodifica sia quella di processing dei messaggi Snmp, a prescindere dal fatto che la funzione attiva sia ricoperta dal manager o dagli agenti. L’effetto primario è quello del Denial of Service. Questo può, a sua volta, essere causato da una vulnerabilità di tipo format string, da un buffer overflow e via dicendo. Dal punto di vista degli impatti, tutte le problematiche segnalate in questo periodo sono qualificate come di alta rilevanza. In poche parole, le negazioni o le interruzioni del servizio possono risultare strumentali alla compromissione totale dell’obiettivo colpito.
I pericoli
A giudicare da quanto è stato dichiarato nella comunità tecnico scientifica, non si può parlare di vulnerabiltà del protocollo in senso stretto, bensì delle sue implementazioni. Ecco il motivo per cui appare necessario applicare contromisure generali e di dettaglio che illustreremo tra poco. Quello che sicuramente può essere interessante è la tipologia articolata di pericoli afferente questo tipo di problema.
Si parta da un presupposto generale. Snmp è diffusissimo: ciò lo pone in cima alla classifica delle seguenti attività:
* Probing: tentativi effettuati dagli attacker, finalizzati all’enumerazione e al riconoscimento di dispositivi che usano una determinata implementazione del protocollo, ovviamente a rischio.
* Malicious coding: una volta appurato che la vulnerabiltà è molto grave e potenzialmente diffondibile in maniera esponenziale, si valuti con attenzione la possibilità che, una volta effettuato un survey , un malicious code writer (cioè uno scrittore di virus, worm et similia, specialmente il secondo, in questo caso) sviluppi un codice in grado di sfruttare le vulnerabilità appartenenti al gruppo appena citato.
Chi deve stare più attento? Sicuramente gli amministratori di ambienti distribuiti che, per forza di cose, devono utilizzare Snmp per gestire la moltitudine di nodi e dispositivi. Mai come in questo periodo, inoltre, sarà necessario avere un inventario preciso dei potenziali target, in modo tale da comprendere quelli più a rischio, e a pianificare la priorità delle contromisure.
Le soluzioni
Al momento in cui scriviamo, la comunità tecnico scientifica ha rispolverato una serie di contromisure a dire il vero già segnalate tempo fa. Il motivo è che Snmp è sempre stato un potenziale punto di rischio. Sicuramente, una delle operazioni preliminari da effettuare è quella di pianificare l’impatto dei workaround sul ciclo operativo dell’intero network. Questo appare necessario sia per evitare la creazione involontaria di colli di bottiglia, sia per ridurre al minimo il rischio di aprire altre falle.
Successivamente si vorrà provvedere alla consultazione dei siti Web dei rispettivi produttori. Allo stato attuale stiamo notando una forma di assistenza che va in una duplice direzione: auditing dei dispositivi di rete e distribuzione delle patch software. La prima fase consiste nello scaricare appositi tool dai siti vendor, il cui uso è finalizzato alla mappatura dei dispositivi di rete (e degli host) che possono essere vulnerabili. La seconda consiste nel download dei relativi aggiornamenti. In alcuni casi, la seconda funzione è richiamata dalla prima.
Se non si ha un bisogno reale di Snmp, è meglio disabilitarlo. (anche se, purtroppo, si tratta di uno stratagemma relativamente efficace, in quanto alcune vulnerabiltà sono efficaci pure con Snmp disabilitato).
Infine, è bene verificare la possibilità di implementare i cosiddetti “ingress filter”, cioè controlli in ingresso di traffico Snmp. La maggior parte di queste operazioni consente il colloquio tra agenti e master esclusivamente mappati prima come trusted.
