ThaiCERT : Advisories & Alerts : CERT : CA-2008-18

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2008-18 (Technical Cyber Security Alert TA08-162A)
SNMPv3 Authentication Bypass Vulnerability
ต้นฉบับ : http://www.us-cert.gov/cas/techalerts/TA08-162A.html
เรียบเรียงโดย : ไตรรัตน์ พุทธรักษา, CISSP, SANS GIAC GCIH, ธนกร พิรุฬห์สิทธิ์

ระบบที่ได้รับผลกระทบ

โปรแกรมที่ใช้งาน SNMPv3

Net-SNMP เวอร์ชัน 5.4.1, 5.3.2, 5.2.4, 5.1.4, และ 5.0.11
UCD-SNMP เวอร์ชัน 4.2.7

กล่าวโดยทั่วไป

การใช้งาน SNMPv3 พบช่องโหว่ในส่วนการพิสูจน์ตัวตนผู้ใช้งาน อาจทำให้เกิด authentication bypass ได้

I. คำอธิบาย

SNMP เป็นโปรโตคอลที่ใช้กันอย่างแพร่หลายในการจัดการและบริหารอุปกรณ์เครือข่าย SNMP v3 (RFC 3410) เป็น SNMP เวอร์ชั่นล่าสุดซึ่งมีความสามารถในการพิสูจน์ตัวตน (RFC 3414) ของผู้ใช้โดยอาศัย Hash Message Authentication Code (HMAC) ซึ่งเป็นการตรวจสอบตัวตนโดยอาศัยฟังก์ชัน (cryptographic hash function) และคีย์ลับ (secret key) ในการเข้ารหัส SNMPv3 ที่ถูกพัฒนาขึ้นมานี้ เปิดโอกาสให้ผู้บุกรุกทำการลดความยาวของ HMAC เหลือเพียง 1 ไบต์ได้ ซึ่งการลดความยาวของ HMAC นี้ทำให้ขั้นตอนในการหา HMAC ที่ถูกต้องง่ายขึ้น

ช่องโหว่ดังกล่าวนี้พบใน Net-SNMP และ UCD-SNMP อย่างไรก็ตามผลิตภัณ SNMP รายอื่นอาจมีผลกระทบด้วยเช่นกัน ดูรายละเอียดเพิ่มเติมได้ที่ Net-SNMP SECURITY RELEASE และ US-CERT Vulnerability Note VU#878044 ในส่วนของ CVE identifier สามารถดูได้ที่ CVE-2008-0960

II. ผลกระทบ

ผู้บุกรุกสามารถอ่านและแก้ไข SNMP Object และข้อมูลการตั้งค่าการใช้งานระบบได้จากระยะไกล

III. วิธีแก้ไข

ปรับปรุงเวอร์ชัน

ปรับปรุงโปรแกรม Net-SNMP ให้เป็นเวอร์ชัน 5.4.1.1, 5.3.2.1, 5.2.4.1, 5.1.4.1, 5.0.11.1 และ โปรแกรม UCD-SNMP ให้เป็นเวอร์ชัน 4.2.7.1. ดูรายละเอียดเพิ่มเติมได้ที่ Net-SNMP download

มิฉะนั้น ติดต่อขอรายละเอียดเพิ่มเติมได้ที่ตัวแทนจำหน่ายผลิตภัณฑ์ดังกล่าวของท่าน และสามารถดูรายละเอียดของระบบที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวได้ที่ US-CERT Vulnerability Note VU#878044

ติดตั้งโปรแกรมปรับปรุงช่องโหว่

Net-SNMP ได้ออกโปรแกรมปรับปรุงช่องโหว่ (1989089) และในส่วนของ UCD-SNMP ต้องทำการปรับปรุงช่องโหว่ด้วยเช่นกัน

เปิดการใช้งาน SNMPv3 privacy subsystem

ทำการเปิดการใช้งาน SNMPv3 privacy subsystem เพื่อทำการเข้ารหัสข้อมูลบนระบบด้วยคีย์ลับ ซึ่งระบบดังกล่าวมิได้ทำการเข้ารหัส HMAC แต่เป็นเพียงการทำให้ผู้บุกรุกต้องประสบกับความลำบากมากขึ้นในการสร้างข้อความพิสูจน์ตัวตนที่ถูกต้อง

IV. เอกสารอ้างอิง

US-CERT Vulnerability Note VU#878044 - <http://www.kb.cert.org/vuls/id/878044>
RFC 3410 - <http://tools.ietf.org/html/rfc3410>
RFC 3414 - <http://tools.ietf.org/html/rfc3414>
SECURITY RELEASE: Multiple Net-SNMP Versions Released - <http://sourceforge.net/forum/forum.php?forum_id=833770>
1989089 - Fixes VU#878044 and CVE-2008-0960 - <https://sourceforge.net/tracker/index.php?func=detail&aid=1989089&group_id=12694&atid=456380>
Net-SNMP Download - <http://www.net-snmp.org/download.html>
CVE-2008-0960 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0960>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์