一例SNMP高危漏洞处理
网络运营中心设备运营网格 徐路法
一、漏洞现象
某次常规漏扫工作中发现有一台设备提示有高危漏洞,漏洞名称为SNMP获取路由等信息【原理扫描】,漏洞信息显示为入侵者可以通过SNMP协议获得目标主机上的路由信息。可能会造成敏感信息泄漏,例如内部地址或者子网信息。攻击者可以更方便地了解远程主机,寻找可能的攻击点。
二、漏洞处理过程
1、根据漏洞信息,登陆相关设备检查snmp配置信息。
根据查询到配置信息,snmp协议口令采用加密方式,判断其中一条可能采用了默认口令或者弱口令。但是由于已加密无法直接判断出哪条配置信息采用了默认弱口令,如果盲目删除会影响正常网管设备采集。
2、通过研判和分析漏洞扫描原始报告信息,发现设备团体字通常是为了网管采集实用,多网络设备(路由器、交换机、服务器、打印机)出厂时会默认启用 SNMP,通常会将 public 设为只读社区字符串,用于获取设备的系统信息、接口状态、流量数据等。但是正常在用的网管设备一般都采用复杂的加强口令,判断如果是采用了public默认口令通常不是网管设备使用,很可能是垃圾数据。
3、登陆设备直接命令输入public明文尝试删除
undo snmp-agent community read cipher public
4、删除完毕后显示snmp团体字信息减少了2条
5、重新再进行漏洞复扫,没有出现任何中高危漏洞,问题解决。
三、总结
任何设备资产严格禁止使用包括团体字在内所有默认口令以及弱口令,必须采用IP白名单+强密码+协议加密方式;无用垃圾测试数据需要及时进行清理删除;定期进行日志配置文件审计,加强日常资产漏洞扫描发现问题及时解决避免网络隐患发生。
