Avisos 28 de November, 2012

Porta del darrere a impressores Samsung i Dell

S'ha publicat informació sobre una vulnerabilitat que afecta impressores del fabricant Samsung, incloses algunes de la marca Dell. Els dispositius afectats incorporen una porta del darrere que permetria a un atacant remot, sense necessitat d'autenticació, accedir amb privilegis d'administració.

 

Impacte
 
Accès amb privilegis d'administració.
 
Productes afectats
 
Totes les impressores fabricades per Samsung abans del 31 d'Octubre de 2012, incloent diversos models comercialitzats amb la marca Dell.
 
Solució
 
Com a mesura de mitigació, es recomana limitar l'accés mitjançant SNMP només a màquines i xarxes fiables. És especialment important bloquejar aquest protocol a nivell perimetral, per impedir escanejos i atacs des d'adreces remotes a Internet.
La desactivació del protocol SNMP als dispositius no és suficient per evitar l'explotació de la vulnerabilitat. Per tant, és necessari realitzar un bloqueig a nivell de trànsit de xarxa mitjançant un tallafocs o IPS.
 
Detall
 
La vulnerabilitat, reportada als fabricants en agost d'aquest any, consisteix en una porta del darrere en forma de cadena de comunitat SNMP (SNMP community string) que és comuna a tots els dispositius i no es pot desactivar ni modificar. Aquesta cadena és un identificador que s'envia a totes les peticions SNMPv1, i s'utilitza per determinar el nivell d'accés a la configuració del dispositiu. Equival a una contrasenya, encara que el nivell de seguretat proporcionat és molt menor.
 
Ès important ressaltar que fins i tot la desactivació del protocol SNMP al dispositiu no és suficient per evitar l'explotació de la vulnerabilitat.
 
Ja que la vulnerabilitat va ser reportada de forma privada als fabricants per part de l'investigador original, no es coneixen atacs en actiu ni s'ha publicat la cadena de comunitat que permetria l'accés.
 
L'identificador CVE assignat per aquesta vulnerabilitat és CVE-2012-4964.
 
Referències
 
Avís de seguretat US-CERT Vulnerability Note VU#281284
http://www.kb.cert.org/vuls/id/281284
Publicat a: Avisos