Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Netwerken kwetsbaar door onveilige SNMP-configuratie

Nieuws | 01-11-2012

Het bedrijf ITSX heeft onderzoek gedaan naar IP-adressen in Nederland die via het internet met het Simple Netwerk Management Protocol (SNMP) bereikbaar zijn. Uit het onderzoek blijkt dat 13.656 Nederlandse IP-adressen via SNMP bereikbaar zijn. Omdat SNMP beperkte beveiligingsmogelijkheden kent, is het onwenselijk om dit protocol direct vanaf internet bereikbaar te maken. Wanneer systemen wel via SNMP bereikbaar en niet goed beveiligd zijn, bestaat het risico dat onbevoegden toegang kunnen krijgen tot deze systemen. Het is belangrijk dat organisaties controleren of hun apparatuur via internet bereikbaar is met SNMP en zonodig veilig te configureren.

Het bedrijf ITSX heeft onderzoek gedaan naar IP-adressen in Nederland die via het internet met het Simple Netwerk Management Protocol (SNMP) bereikbaar zijn. Op basis van een scan van ongeveer de helft van de Nederlandse IP-adressen, zijn 13.656 Nederlandse IP-adressen gevonden die via SNMP bereikbaar zijn. Dit is ongeveer 0.03% van alle Nederlandse IP-adressen. Dit kunnen (meerdere) IP-adressen zijn van organisaties maar ook thuisgebruikers. Organisaties waarvan het IP-adres bij het Nationaal Cyber Security Centrum (NCSC) bekend is, zijn voorafgaand aan publicatie van het onderzoek door ons op de hoogte gebracht. Omdat SNMP beperkte beveiligingsmogelijkheden kent, is het onwenselijk om dit protocol direct vanaf internet bereikbaar te maken. Wanneer systemen wel via SNMP bereikbaar en niet goed beveiligd zijn, bestaat het risico dat onbevoegden toegang kunnen krijgen tot deze systemen. Het is belangrijk dat organisaties controleren of hun apparatuur via internet bereikbaar is met SNMP en zo nodig veilig te configureren.

 

Extra risico

De eerste versie (SNMPv1) biedt nauwelijks mogelijkheden voor toegangsbeveiliging. Daarnaast zijn er bij latere versies regelmatig standaardwachtwoorden in gebruik waardoor apparatuur onbedoeld, via het netwerk, te benaderen zijn. Kwaadwillenden kunnen dan de configuratie van servers, printers of netwerkapparatuur opvragen of wijzigen. Als zulke apparaten direct via het internet te benaderen zijn, creëert dit een extra risico: een aanvaller hoeft dan geen toegang te hebben tot uw interne netwerk om configuratie van uw apparatuur te lezen of te wijzigen. Via een gecompromitteerd apparaat kan een aanvaller ook verdere aanvallen op een netwerk uitvoeren, afhankelijk van de verdere beveiliging van het netwerk.

Over het onderzoek

Het bedrijf ITSX heeft een onderzoek uitgevoerd waarbij onderzocht is op welke (Nederlandse) IP-adressen apparaten via internet te benaderen zijn voor beheer met SNMP. Daarbij zijn meer dan 13.000 IP-adressen gevonden waarop met SNMP te beheren apparaten via internet bereikbaar waren. Dat betekent niet dat deze systemen dus ook kwetsbaar zijn maar die mogelijkheid is er wel.

Wat te doen?

Apparaten die SNMP ondersteunen, accepteren verkeer op UDP-poort 161. Een scan van uw netwerk met een tool dat zich specifiek op SNMP richt, geeft inzicht op welke apparaten SNMP ingeschakeld is. Deze scan moet in het bijzonder aandacht besteden aan apparaten die via het internet te benaderen zijn. Maak gebruik van de hierboven genoemde maatregelen om eventuele bevindingen van zo'n scan te verhelpen.

Voor een eenvoudig thuisnetwerk is het voldoende om te controleren in de instellingen van uw router of SNMP
in- of uitgeschakeld is. De meeste thuisgebruikers maken geen gebruik van SNMP en kunnen deze instelling derhalve veilig uitschakelen.

Aanbevelingen

Wij raden aan een aantal maatregelen te treffen om de risico's te beperken:

  • SNMP uit te schakelen op alle apparaten waar u geen gebruik maakt van SNMP;
  • Alle apparaten waarop SNMP beschikbaar is, van het internet te scheiden, bijvoorbeeld middels een firewall.
  • Geen gebruik te maken van SNMPv1, maar alleen van de recentere versies 2 en 3, waarbij versie 3 de voorkeur verdient boven versie 2 vanwege uitgebreidere maatregelen ter beveiliging.
  • Gebruik te maken van maatregelen voor toegangsbeveiliging die SNMPv2 en SNMPv3 bieden.
  • Het toegangswachtwoord ('community string') te wijzigen ten opzichte van de standaardwaarde (vaak 'public' of 'private').

Tenslotte:

In de media wordt ten onrechte de vergelijking gemaakt met de hack van Diginotar in 2011. Bij de Diginotar-hack was er sprake van een gehackt bedrijf waardoor uitgegeven beveiligingscertificaten ongeldig bleken. Dit bracht het gehele stelsel van digitale certificaten in gevaar. De toegankelijkheid van apparatuur via internet met SNMP is van een hele andere orde.

Over het NCSC

NCSCstill

CSBN 2016

CSBN 2016