Falle di Sicurezza su Protocollo SNMP su Dispositivi di Rete

Con la presente Yoroi desidera informarLa che è stata recentemente rilevata una falla di sicurezza in varie implementazioni del protocollo di gestione di rete SNMP su vari dispositivi di rete. La vulnerabilità è attualmente nota con il nome di StringBleed e fa riferimento all’identificativo CVE 2017-5135.

La problematica è relativa a gravi lacune di autenticazione che permettono ad attaccanti remoti di utilizzare le funzionalità SNMP senza i dovuti controlli, di fatto bypassando i meccanismi di protezione previsti dal protocollo.

La problematica affligge oltre 70 modelli di gateway di rete appartenenti a 19 Vendor differenti tra cui Cisco, D-Link, MotorolaCorporation, NET&SYS, NETWAVENetworks,Inc., S-A e Skyworth. I dispositivi coinvolti dalla problematica sono tipicamente utilizzati per connettività domestica e/o small-office, tuttavia la vulnerabilità presenta profili di rischio indiretti anche per organizzazioni e corporazioni in quanto i dati in possesso dei ricercatori mostrano un numero estremamente elevato di dispositivi afflitti dalla problematica, oltre 500k unità coinvolte.

Questa circostanza rappresenta un fattore di rischio importante in quanto i dispositivi vulnerabili possono essere sfruttati da attaccanti remoti al fine di generare ondate di attacchi DDoS (Distributed Deny of Service). Utilizzando tecniche di amplificazione basate sulle richieste SNMP alle quali i dispositivi erroneamente rispondono è infatti possibile ottenere fattori di amplificazione della banda di attacco nell’ordine delle centinaia di volte rispetto a quella di origine, fino alla saturazione della banda disponibile presso le infrastrutture vittime di questa tipologia di attacco.

Figura 1. Esemplificazione di tecniche di amplificazione per Attacco DDoS

Gli attacchi di questa categoria registrati negli ultimi anni hanno raggiunto picchi di rete nell’ordine delle centinaia di Gigabit, tuttavia anche l’utilizzo di una parte minoritaria dei dispositivi vulnerabili ad oggi noti può portare a volumi di traffico sufficienti a generare disservizi prolungati. Per questa ragione Yoroi suggerisce di predisporre procedure per la mitigazione di eventuali attacchi di questa tipologia a monte delle infrastrutture e dei data center in uso presso le vostre organizzazioni.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index