27.04.2017 12:29
StringBleed ist kein zweites Heartbleed
Es wird mal wieder eine benamste Schwachstellen-Kuh durch die IT-Security Community getrieben. Der Name soll offensichtlich an Heartbleed erinnern, aber soweit wir das jetzt einschätzen können, ist StringBleed (jedenfalls in Österreich) ziemlich harmlos.Um was geht es? StringBleed ist ein Bug in der SNMP-Implementation (oder Konfiguration) in Kabelmodems, DSL-Modems oder ähnlichen Geräten.SNMP (simple network management protocol) wird zur Fernwartung/Monitoring von diversen Geräten im Internet benutzt. Typischerweise sind das Router (incl. CPEs) oder Server. An sich sollte SNMP aus dem offenen Internet gar nicht erreichbar sein, und wenn das nicht vermeidbar ist, wenigstens per Access-Control (je nach SNMP Version gibt es da verschiedene Möglichkeiten) abgesichert sein. Das ist leider bei weitem nicht der Fall, und solche offenen (bzw. mit Default-Passwörtern "gesicherte") SNMP Agents lassen sich auch für DDoS-Reflection missbrauchen. Das erklären wir in unserem Jahresbericht ausführlich. Dort gibt es auch eine Grafik, die das Mengengerüst für Österreich dokumentiert:Wir haben also rund 4000 IP Adressen in Österreich, die auf offene SNMP-Anfragen antworten.Was ist der Bug?Laut den Findern ist schlicht die Überprüfung der Authorisierung der SNMP-Anfrage komplett kaputt. Man kann mit beliebigen Credentials SNMP-Anfragen durchführen. Das mag bei puren Lesezugriffen noch nicht dramatisch sein, das gleiche soll aber auch bei Schreibzugriffen funktionieren, und damit kann man potentiell das Device umkonfigurieren.Wie stark ist Österreich betroffen?Meine Datenbasis ist das Ergebnis des letzten SNMP-Scans von Shadowserver. Das waren knapp 4200 IP-Adressen und inkludiert auch den Wert des "SysDescr" Attributes, das oft den Hersteller, das Produkt und die Softwareversion enthält. Die Webseite von StringBleed enthält eine Liste von betroffenen Modellen. Sucht man diese in der Liste von Shadowserver so erhält man 305 Treffer.Davon sind 216 D-Link DCM-704, 40 Thomson TWG870 und 30 Thomson THG540. Der Rest verteilt sich auf diverse Modelle von Cisco und ARRIS.Aber antworten diese auch wirklich auf Anfragen mit beliebigen Credentials?Einen Schreibversuch will ich nicht machen, aber die gleiche Frage nach der "SysDescr" habe ich an alle 4200 geschickt.Auf meine Anfrage mit zufällig gewähltem Passwort ("community string") haben 303 geantwortet. Diese verteilen sich auf 210 D-Link DCM-704, 39 Thomson TWG870 und 30 Thomson THG540. Das deckt sich also sehr gut.Ein Blick auf die Netzbetreiber/ISPs zeigt, dass es hier um kleine, regional agierende Provider geht. Diese werden wir - wie immer bei solchen Fällen - entsprechend verständigen.Aber lassen wir die Kuh lieber im Dorf (oder im Stall, um beim Bild der Einleitung zu bleiben): 300 angreifbare Kabelmodems in Österreich sind Tagesgeschäft und kein Grund für eine besondere Aufregung (oder (SCNR) aufg'scheichte Hendln).
Autor: Otmar Lendl