Avisos 25 de October, 2012

Vulnerabilitats i actualitzacions d'equipament de xarxa HP/H3C, 3Com i Huawei

El fabricant Hewlett Packard (HP) ha publicat un butlletí de seguretat per anunciar una vulnerabilitat present a encaminadors i commutadors de les seves marques HP/H3C i 3Com. La vulnerabilitat permet accedir mitjançant SNMP a informació sensible que podria permetre el compromís del dispositiu. Suposadament aquest problema de seguretat també afectaria a dispositius Huawei, però el fabricant xinès no ha publicat cap tipus d'informació al respecte.

 

Impacte
 
Fuita d'informació.
 
Productes afectats
 
La llista de productes afectats arriba als 789 models de diferents tipus de dispositius i marca, i abasta pràcticament tota la línia de productes d'equipament de xarxa de la família HP. Es recomana consultar l'avís original del fabricant per confirmar si un dispositiu està afectat.
Segons la publicació de l'investigador original que ha descobert la vulnerabilitat, també estan afectats els dispositius Huawei, però aquest fabricant no ha publicat cap informació sobre la possible llista de productes afectats.
 
Solució
 
El fabricant ha publicat actualitzacions per a la majoria dels productes, i es recomana instal • lar tan aviat com sigui possible el pegat o actualització corresponent, prenent com sempre les mesures de precaució necessàries en cas de fallada.
Si el seu producte encara no disposa d'una actualització, es recomana comprovar periòdicament el butlletí a la pàgina web del fabricant a l'espera de la publicació. Mentrestant, el fabricant i el investigador original ofereixen algunes mesures de mitigació que evitarien l'explotació de la vulnerabilitat:
 
Desactivar SNMPv1 i utilitzar SNMPv3, amb autenticació i privacitat per a totes les aplicacions de gestió de xarxa.
Fer servir VACM (View Access Control Module) de SNMPv3 per bloquejar l'accés a la H3C-USER-MIB per als usuaris SNMPv1/v2c.
Configurar les cadenes de comunitat SNMP amb llistes de control d'accés (ACL), per permetre l'accés SNMP només des de les estacions dedicades a la gestió de xarxa.
Desactivar tots els comptes d'administració locals i utilitzar servidors d'autenticació RADIUS o TACACS+.
Utilitzar cadenes de comunitat complexes.
Desactivar els MIBs problemàtiques (h)h3c-user als dispositius.
Bloquejar l'accés SNMP des de orígens no confiables mitjançant tallafocs.
 
Detall
 
La vulnerabilitat resideix en la configuració SNMP, que podria permetre a un usuari remot sense necessitat d'autenticació, realitzar accions administratives en els productes afectats.
L'atacant, simplement amb coneixement del nom de la comunitat pública SNMP, pot accedir a dades sensibles com ara noms d'usuari i contrasenyes, continguts en els objectes MIB (Management Information Base) H3C-user.mib i hh3c-user.mib. Amb aquesta informació l'atacant pot prendre el control del dispositiu.
L'identificador CVE assignat a la vulnerabilitat és CVE-2012-3268.
L'investigador ha publicat mòduls d'explotació per les eines d'auditoria Metasploit i Nmap, de manera que l'explotació d'aquesta vulnerabilitat per part d'un atacant seria trivial.
 
Referències
 
Butlletí de seguretat HPSBHF02819 SSRT100920 - HP, 3COM, and H3C Routers & Switches, Remote Disclosure of Information
http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03515685&ac.admitted=1351154196547.876444892.492883150
Avís de vulnerabilitat a US-CERT (VU#225404)
http://www.kb.cert.org/vuls/id/225404
Publicació al bloc personal de l'investigador de seguretat original
http://grutztopia.jingojango.net/2012/10/hph3c-and-huawei-snmp-weak-access-to.html
Publicat a: Avisos