SNMP 취약점 공격

개요

Simple Network Management Protocol의 약자로 쉽게 말해 하나 이상의 네트워크를 개별적으로 번거롭게 관리하지 않고 중앙집중 방식으로 편하게 관리하기 위해 개발된 프로토콜입니다.

 

SNMP는 UDP 방식으로 정보를 수집할 대상인 호스트(Agent)는 161번 PORT를 사용하고 그러한 정보를 수집해 모니터링 및 관리를 하는 관리자는 162번 PORT 를 사용합니다.

 

버전 특징

SNMP v1 : 암호화 기능이 전혀 없어 보안에 취약, Community String이라는 인증에만 의존
SNMP v2 : 보안측면을 고려했지만 보안 시스템이 너무 복잡하다 평가되어 상용화가 되지 못함
SNMP v2c : 보안 기능이 제거되었으며 v2 보단 v2c 가 더 사용화, Community String 방식을 그대로 사용
SNMP v3 : (DES)라는 대칭키 암호화 알고리즘을 지원하여 보안성은 높였지만 호환성의 문제

Community String 이란

SNMP에서 정보를 얻을 수 있는 권한을 가지고 있는지 인증하기 위해 사용되며 미리 설정된 문자열을 가지고 자신의 패스워드처럼 사용하는 것과 유사

public : read-only로 동작, 정보를 읽기만 가능(default)

private : read-write로 동작, 읽기/쓰기 즉 config 파일을 수정도 할 수 있음

 

어떤 문제가 발생할수 있나

(1) UDP 통신으로 인한 낮은 신뢰성과 평문 정송으로 정보 노출
(2) Community String의 default 값으로 인해 시스템의 주요 정보 및 설정을 파악
(3) 취약한 snmp 프로토콜을 대상으로 DOS attack

nmap 스캐닝을 통해 snmp 구동 중인 것을 확인하였으니 metasploit의 msfconsole을 통해 Community String 값이 default 값인지 검증을 확인해볼 수 있습니다.

 

 <!-- Command 입력 -->
 msfconsole
 msf5 > use auxiliary/scanner/snmp/snmp_login 
 msf5 auxiliary(scanner/snmp/snmp_login) > set RHOSTS 192.168.0.0-192.168.0.255
 RHOSTS => 192.168.0.0-192.168.0.255 --> 전체대역 스캔
 msf5 auxiliary(scanner/snmp/snmp_login) > exploit

전체 대역을 스캔하여 여러 대상을 스캔할 수 있습니다. 결과적으로 192.168.0.131에 public와 private 로그인이 모두 성공했습니다.

 

 msfconsole
 msf5 > use auxiliary/scanner/snmp/snmp_enum
 msf5 auxiliary(scanner/snmp/snmp_enum) > set RHOSTS 192.168.0.131
 RHOSTS => 192.168.0.131
 msf5 auxiliary(scanner/snmp/snmp_enum) > run
 [*] System information
 [*] Network information:
 [*] Network interfaces:
 [*] Network IP:
 [*] Routing information:
 [*] TCP connections and listening ports:
 [*] Listening UDP ports:
 [*] Storage information:
 [*] Device information:
 [*] Processes:
 등 확인 가능

snmp_enum 모듈을 통해 snmp를 사용하는 서비스에 대한 자세한 정보를 열거하도록 시도할 수 있습니다.

 

호스트 이름, 네트워크 정보, 가동 중인 프로세스, 라우팅 정보 등 다양한 고급 정보가 출력되며 이중에서 노출되지 말아야 할 민감정보가 포함되는 경우가 많습니다.

 

공격 후 발생된 패킷을 확인하여 내부를 확인해 보면

 

get-request를 통해 무작위로 접속 시도를 하고 있으며 get-response의 응답 패킷을 확인해보면 대상 시스템에서 SNMP의 Commnunity String 값을 기본 private / privacy를 사용하고 있는 것을 확인할 수 있습니다.

 

snmp 서비스를 대상으로 DOS 공격을 수행할 수 있습니다. 한대의 서버로 대상의 서비스를 무력화시키기에는 쉽지 않지만 여러 좀비 PC를 함께 묶어 전송한다면 시스템에 문제가 발생할 가능성은 더욱 높아집니다.

 

큰 타격은 줄수 없지만 대상의 네트워크 트래픽 상태를 확인해보면 급격하게 상승하고 있는 것을 확인할수 있습니다.

 

---

대응 방안

SNMP 서비스를 사용하지 않다면 비활성화시켜두는 것이 제일 좋으며 불가피하게 사용해야 된다면 Community String 값은 기본적으로 변경해서 사용해야 합니다.

 

변경하였다 하더라도 Community String 값을 찾아내기 위해 Brute Force 나 Dictionary Attack 같은 무차별 대입 공격을 시도할 가능성이 있기에 사전에 접근제어를 걸어두어 필요한 사용자만 접근할 수 있도록 해야 합니다.

 

Community String 값 변경

 <!--Community String 값 변경 --> /etc/snmp/snmpd.conf-->
 #sec.name source community
 #com2sec paranoid  default     public
 com2sec readonly  default      public  --> 임의 값 으로 변경
 com2sec readwrite default      private  --> 임의 값 으로 변경

접근제어 정책 설정

 <!--라우터 나 스위치를 통해 접근제어 정책을 설정-->
 router# conf t
 router# access-list 88 permit 100.183.121.0 0.0.0.255
 router# access-list 88 permit 100.183.235.0 0.0.0.255
 router# access-list 88 deny any