“Un pirate qui prendrait le contrôle d’un manager SNMP deviendrait maître du réseau”, met en garde Thomas Franco, ingénieur d’intrusion pour la société Neurocom. Après l’alerte lancée par un groupe de chercheurs de l’université d’Oulu en Finlande la menace commence à prendre forme. Relayé par le Computer Emergency Response Team (Cert), après une période de réserve de plus d’un mois, le temps de prévenir les éditeurs, l’avertissement a eu l’effet d’une douche froide : les équipements SNMP (Simple Network Management Protocol) de la majorité des fabricants du marché peuvent être détournés et piratés.Pour les entreprises qui exploitent ces équipements sur leur réseau afin d’administrer leurs machines, cela signifie qu’il est urgent de les identifier, d’appliquer les correctifs nécessaires s’ils sont disponibles et, surtout, de cloisonner le trafic SNMP. C’est là, évidemment, une tâche colossale à voir la liste des 228 fabricants et éditeurs concernés. D’autant qu’à 48 heures de la découverte, la situation évoluait toujours d’heure en heure, chaque fabricant testant ses équipements pourvus de SNMP afin de prendre la mesure de leur vulnérabilité. Les travaux publiés par l’université d’Oulu à propos du protocole SNMPv1 sont à l’origine de la révélation. Pour ce faire, les chercheurs finlandais ont développé une suite d’outils afin de soumettre les équipements SNMP à des requêtes mal formées, des tentatives de dépassement de mémoire tampon, etc.
Les pirates redécouvrent le protocole SNMP
Bien que SNMPv1 soit connu pour son manque total de sécurité, les résultats des travaux de ces universitaires sont allés au-delà des craintes des spécialistes de la sécurité envers ce protocole. Ainsi, ils ont montré qu’un pirate n’a nul besoin de capturer les Community Strings, ces succédanés d’authentification SNMP, pour prendre le contrôle d’un réseau. L’alerte du Cert ne détaille pas les vulnérabilités, mais indique que les failles sont à double sens : les Managers SNMP décodent souvent mal les messages SNMP (les rapports d’erreurs ou de confirmation) en provenance de leurs agents, et ceux-ci interprètent systématiquement les messages qui leur sont envoyés, qu’ils soient bien formés ou non. Il suffit de soumettre une chaîne de caractères plus longue que celle normalement requise, et d’ajouter dans la chaîne surnuméraire une commande système. Aucune vérification n’est réalisée par le manager et la chaîne de caractères surnuméraire, une commande shell par exemple, est alors mise en mémoire. À partir de là, l’application SNMP tombe mais les quel- ques octets de la commande système sont placés au sommet de la pile exécutable, puis exécutés par le système d’exploitation.Considérant l’utilisation stratégique qui est faite de SNMP dans de grands réseaux, le Cert a estimé que de telles attaques pourraient mettre en danger l’équilibre d’Internet si la communauté des pirates venait à exploiter ces failles. Pour l’heure, cela ne semble pas être le cas : “Nous ne constatons aucune activité contre des hôtes SNMP sur notre réseau de “pots de miel” à travers le monde”, constate Lance Spitzner, responsable de la sécurité du réseau pour Sun Microsystems et créateur du projet honeypot.net, un réseau leurre pour étudier les intrusions. “Mais ne nous y trompons pas, la raison de ce calme apparent est qu’il n’existe pas encore d’outil automatisé pour exploiter ces failles. Cela va très certainement arriver rapidement, et là, en revanche, des milliers de systèmes seront menacés”, poursuit-il. En France, le SOC (Security Operation Center) de la société Intexxia confirme l’absence d’activité des pirates sur les hôtes SNMP de ses clients : “Nous ne remarquons pas d’augmentation particulière des attaques sur les équipements SNMP de nos clients, relate Renaud Bidou, directeur des opérations chez Intexxia. En revanche, nous notons une montée en puissance des sondes de pirates, qui viennent tester les systèmes avec les attaques les plus simples, comme utiliser les Community Strings par défaut. On dirait que l’alerte du Cert a titillé la curiosité des pirates vis-à-vis de SNMP, et qu’ils essaient d’abord l’approche facile. C’est un effet de bord.”
Cloisonner les procédures
Pour Renaud Bidou, créer un outil d’attaque par dépassement de mémoire tampon à partir du code source du module ucd-snmp sous Linux ne prendrait pas plus d’une journée. “On devrait donc rapidement voir les premières attaques”, conclut-t-il. Pour les entreprises qui exploitent des dizaines voire des centaines d’équipements SNMP sur leur réseau, la solution passe à l’heure actuelle par un cloisonnement très strict du trafic. Selon le Cert, certains équipements restent vulnérables même lorsque SNMP est désactivé. D’où la nécessité d’appliquer un filtrage sur l’ensemble du réseau… et d’attendre les correctifs des fabricants. À défaut de changer de protocole.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.