*Cisco IOS軟件層疊SNMP共享社區(qū)字串漏洞

Cisco 配置文件中，意外創(chuàng)建和暴露SNMP共享字符串，可以允許未授權(quán)地查閱或者修改感染的設(shè)備。這種漏洞是調(diào)用SNMP函數(shù)中的缺陷引起的。SNMP利用“community”的標記來劃分“object”組,可以在設(shè)備上查看或者修改它們。在組中的數(shù)據(jù)組織MIB。單個設(shè)備可以有幾個MIBs，連接在一起形成一個大的結(jié)構(gòu)，不同的社團字符串可以提供只讀或者讀寫訪問不同的，可能重疊的大型數(shù)據(jù)結(jié)構(gòu)的一部分。

啟用SNMP，鍵入“snmp-server”命令時，如果社區(qū)在設(shè)備上不是以有效的社區(qū)字串存在，就會不可預(yù)料地添加一個只讀社區(qū)字串。如果刪除它，這個社區(qū)字串將會在重載設(shè)備時重新出現(xiàn)。

缺陷源于SNMPv2的“通知(informs)”功能的實現(xiàn)，這個功能包括交換只讀社區(qū)字符串來共享狀態(tài)信息。當一個有漏洞的設(shè)備處理一條定義接收SNMP "traps"(陷阱消息)主機的命令時(常規(guī)snmp-server配置)，在trap消息中指定的社團也還是配置成通用，如果它在保存配置中沒有定義。即使社區(qū)在前面被刪除并且配置在系統(tǒng)重載前保存到存儲器，也會發(fā)生這種情況。

當通過"snmpwalk"(一種檢測SNMP配置正確性的工具)，或者使用設(shè)備的只讀社團字符串遍歷基于視圖的訪問控制MIB來檢查設(shè)備時，就會泄漏讀寫社團字符串。這意味著知道只讀社區(qū)字串允許讀訪問存儲在設(shè)備中的MIB，導(dǎo)致信息泄露。而更為嚴重的是，如果知道讀寫社區(qū)字符串就可以允許遠程配置的路由，可以繞開授權(quán)認證機制，從而完全控制路由器的整體功能。

【另類攻擊】

前面的漏洞綜述，似乎我們都在圍繞著如何獲得路由配置信息而講述，因為得到一個完整Router-config，那么我們便掌握了路由的世界。下面的入侵方法則另辟奚徑。

*TFTP的藝術(shù)

Cisco的熟練管理員，一般習(xí)慣于Cisco免費提供的TFTP服務(wù)器(http://www.cisco.com/pcgi-bin/tablebuild.pl/tftp)，而Cisco培訓(xùn)的書籍總會介紹使用copy running-config tftp的命令來保存路由配置文件。于是獲得TFTP就有可能獲得路由配置文件。

幸運的是，TFTPD守護程序存在目錄遍歷的漏洞，允許遠程用戶從目標系統(tǒng)中獲得任意文件。我們可以通過下面簡單方法獲取目標系統(tǒng)中的任何文件：

Exploit

tftp> connect target_machine

tftp> get cisco-conf.bin

Recieved 472 bytes in 0.4 seconds

tftpd> quit

而這個免費軟件還沒有任何修補措施，因此借助這種方式，可以不費吹灰之力就可能得到一份完整的路由配置存檔。

*SSH安全感

通過Telnet管理方式，造就了一批密碼竊聽者。通過明文的ASCII的網(wǎng)絡(luò)傳輸形式，竊聽者隨便放置嗅探裝置(sniffer)，就可安閑的等待著登錄用戶，密碼以及各類敏感信息自動送到面前。SSH加密方式在路由器的應(yīng)用，大大的消滅了這種囂張的氣焰。

但入侵與反入侵本來就是個古老的話題。于是，SSH也開始有了危機感。Cisco SSH存在著三個精妙且復(fù)雜的漏洞，這種攻擊的手法所涉及的知識已經(jīng)大大超出本文的范疇，所以以簡略的形式給予說明并指出應(yīng)用漏洞的文章出處。(這些漏洞整理自中國網(wǎng)絡(luò)安全響應(yīng)中心CNSAN，http://www.cns911.com/holes/router/router01062902.php，在此對漏洞整理工作者的無私工作給予致敬。)

1.RC-32完整性檢查漏洞

參考：http://www.core-sdi.com/files/files/11/CRC32.pdf

作者運用及其復(fù)雜的數(shù)學(xué)方式來證明這種漏洞的存在性，看懂這片文章需要相當?shù)臄?shù)學(xué)功底，本人在看這篇文章的時候也是頭痛萬分。不過文章中的理論分析十分精彩，初學(xué)者可以省略此漏洞。

CNSAN的文章則指出“要使這種攻擊成功，攻擊者要擁有一或者2個已知chipertxt/plaintext串，這一般并不難，因為每個進程啟動時的問候屏幕是固定并可探測的，這樣可以通過SNIFF進程來獲得相應(yīng)的chipertext”。

2.通信分析

參考：http://online.securityfocus.com/archive/1/169840

CNSAN的文章論述：“要利用這個漏洞，攻擊者必須捕獲信息包，這樣可以分析使用的密碼長度并用暴力手段猜測密碼”。

在SSH中封裝明文數(shù)據(jù)時，數(shù)據(jù)從8字節(jié)的邊界上開始封裝并對數(shù)據(jù)進行加密。這樣的包在明文數(shù)據(jù)長度之后進行某中數(shù)學(xué)封裝，SSH在加密通道內(nèi)以明文的方式傳輸，結(jié)果，能檢測SSH傳輸?shù)墓艟湍塬@得SSH內(nèi)的內(nèi)容。文章還友善的給出了Patch程序來修正這個漏洞。

3.在SSH 1.5協(xié)議中KEY恢復(fù)

參考：http://www.securityfocus.com/archive/1/161150

CNSAN的文章論述：要利用這個協(xié)議，攻擊者必須能嗅探SSH進程并能對SSH服務(wù)器建立連接，要恢復(fù)SERVER KEY，攻擊者必須執(zhí)行2^20+2^19=1572864 連接，由于KEY是一小時的生存時間，所以攻擊者必須每秒執(zhí)行400此連接。

這種技巧的要求非常高，通常的遠程入侵中，使用KEY來獲得SSH會話過程的概率相當之低。

*本地密碼劫持

在所有入侵中，這種類型的入侵活動可謂是蓄謀以久的野蠻做法。方法本來的意圖是用于管理員忘記密碼后的恢復(fù)措施。而技術(shù)做為雙刃劍的一面，便在于我們?nèi)绾问褂盟?/P>

如果你有一臺筆記本電腦，你有一根與路由器相應(yīng)類型的連接線，那么你配備了入侵路由的武器。剩下的時間，你將思考如何閉開網(wǎng)管的眼睛，把連接線與路由器連接。以后的動作，需要你行動迅速了。(以25xx系列路由為例)

1.切斷路由器的電源。

2.連接計算機與路由器。

3.打開超級終端(CTL-Break in Hyperterm)。

4.在啟動路由器的30秒時間內(nèi)，迅速按CTL-Break組合鍵，使路由器進入rom monitor 狀態(tài)，出現(xiàn)提示符如下：

Followed by a '>' prompt...

5.輸入 O/R 0x2142，修改配置注冊器(config register)路由器從Flash

memory引導(dǎo)。

6.輸入I，路由器初始化設(shè)置后重新啟動。

7.輸入系統(tǒng)配置 對話提示符敲no,一直等提示信息顯示： Press RETURN to get started。

8.輸入enable 命令，出現(xiàn)Router# 提示符。

這是，我們可以完全使用show命令查看路由中的一切配置，并可轉(zhuǎn)儲到計算機上。如果使用了enable的加密方式，雖然現(xiàn)在無法看，但可以使用工具進行破解。當然，粗魯?shù)淖龇ㄊ侵苯有薷模?/P>

Router#conf term

Router(conf)#enable password 7 123pwd

進行完以上操作，別忘了恢復(fù)路由的正常狀態(tài)，否則網(wǎng)管很快就能發(fā)現(xiàn)問題所在：

Router(conf)#config-register 0x2102

Router(conf)#exit

至此，我們從幾個方面試圖獲得整個路由的配置，那么如何進一步擴大入侵的戰(zhàn)果，一些令人激動的工具給我們帶來的無比愉悅的方便。

【編輯推薦】

1. IOS觸發(fā)cisco交換機故障恢復(fù)方案匯總
2. Cisco防火墻服務(wù)模塊應(yīng)用檢查拒絕服務(wù)漏洞
3. Cisco華為和Intel交換機的對比賞析