本站点使用cookies,继续浏览表示您同意我们使用cookies。Cookies和隐私政策

安全预警-涉及华为多种产品的SNMP漏洞

  • 预警编号:Huawei-SA-20121025-01
  • 初始发布时间: 2012年10月25日
  • 更新发布时间: 2013年03月18日

华为多款产品支持通过MIB查询本地用户账号和密码的功能,由于SNMPV1和V2协议本身的安全保护机制不足,存在通过SNMP协议泄露用户账号和密码的风险。(HWNSIRT-2012-1017)。

此漏洞的CVE编号为:CVE-2012-3268。


 

1.  涉及版本:

路由器系列产品

NE5000E

V300R007

V800R002, V800R003

MA5200G

V200R003

V300R003

NE40E&80E

V300R003

V600R001, V600R002, V600R003

ATN

V200R001C00, V200R001C01

NE40&80

V300R005

NE20E-X6

V600R003

NE20

V200R005

ME60

V100R005, V100R006

V600R002, V600R003,V600R005C00SPC600

CX600

V200R002

V600R001, V600R002, V600R003

CX200&CX300

V100R005

AR150&200

V200R002C00

AR1200/ AR2200/ AR3200

V200R001, V200R002C00

AR200-S

V200R002C00

AR1200-S&2200-S

V200R001, V200R002C00

AR19/29/49

R2209及以前的版本

AR 28/46

R0311及以前的版本

AR 18-3x

R0118及以前的版本

AR 18-2x

R1712及以前的版本

AR18-1x

R0130及以前的版本

交换机系列产品

S9700

V200R001

S9300

V100R001,V100R002,V100R003,V100R006

V200R001

S8500

R1652及以前的版本

S7800

R6x05及以前的版本

S7700

V100R003,V100R006

V200R001

S6700

V100R006

S6500系列

R3234及以前的版本

S3300HI/S5300HI/S5306/S6300

V100R006

V200R001

S2700/S3700/S5700

V100R005,V100R006

V200R001

S2300/S3300/S5300

V100R002, V100R003, V100R005, V100R006

防火墙/网关系列产品

Eudemon1000E-X/USG5500

V200R002及以前的版本

V300R001C00SPC400及以前的版本

Eudemon1000E-U/USG5300

V200R001及以前的版本

Eudemon1000E-D/I/USG5300-D/I

V100R005

E200E-C/F&X3&X5&X7/USG2200&5100

V200R003及以前的版本

V300R001C00SPC400及以前的版本

E200E-B&X1&X2/USG2100/ EGW2100&2200&3200

V100R005C01及以前的版本

SRG20/SRG20-XX

V100R005

V200R005

SRG1200&2200&3200&1201

V100R002

SVN5300

V200R001C01

SVN2200&5500系列

V200R001C01SPC500及以前的版本

NIP2100&2200&5100

V100R001C00,V100R001C01SPC100

无线系列产品

SGSN9810

V900R010

USN9810

V900R001

V900R011

CG9812

V500R005C25/C27

GGSN9811

V900R007C01/C02/C03

V900R008C00/C01

UGW9811

V900R001C03/C05

V900R009C00/C01/C02

PDSN9960

V900R007C02/C03/C05/C06

HA9661

V900R007C06

WASN9770

V300R003C02

MAG9811

V100R001C00

 



攻击者可能获得本地用户的帐号和密码。



漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/

基础得分:8.5 (AV:N/AC:M/Au:S/C:C/I:C/A:C)

临时得分:7.3 (E:F/RL:OF/RC:C)



1.前提条件:

攻击者必须获取到一个能够访问设备的SNMP团体字,且能够连接到设备;

2. 攻击步骤:

通过snmp访问特定MIB,可以获取本地用户的帐号和口令。




注:如果已部署网管系统,请谨慎确认以下规避措施是否对网管功能产生影响。

以下规避措施举例仅适用于NE5000E/ MA5200G / NE40E&80E /ATN/ NE40&80/ NE20E-X6/ NE20/ ME60/CX600/ CX200&CX300/MAG9811产品,针对其他涉及产品的规避措施,请参考以下配置指导文档,下载链接:

http://support.huawei.com/enterprise/NewsReadAction.action?newType=0301&contentId=NEWS1000001152&idAbsPath=0301_10001&nameAbsPath=%25E6%259C%258D%25E5%258A%25A1%25E5%2585%25AC%25E5%2591%258A

  1. 华为设备关闭SNMP功能(默认情况下未使能SNMP功能)。或者不使用本地用户的认证方式,而使用RADIUS或者HWTACACS认证。

查询SNMP状态是否为关闭:

[HUAWEI]display snmp-agent  sys-info

  1. 华为设备在SNMP使能时,默认使用SNMPv3版本,不建议使用SNMPv1/v2。

查询SNMP状态:

[HUAWEI]display snmp-agent  sys-info

如果查询结果显示设备已经使能SNMPv1/v2:  

SNMP version running in the system: 

SNMPv1 SNMPv2c SNMPv3

取消SNMPv1/v2的配置:

[HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

3.在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问。

配置举例:

[HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo acl 2001

注:以上所有配置举例中的参数仅做参考,需要根据客户网络情况进行实际配置。

4.在使用SNMPv1/v2协议的情况下,建议屏蔽能够查询用户帐户信息的特定MIB节点。

配置举例:

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

[HUAWEI] snmp-agent mib-view excluded userinfo hwCfgOperateTable

[HUAWEI] snmp-agent mib-view excluded userinfo hwCollectTable

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo

[HUAWEI] snmp-agent community write cipher security-write mib-view userinfo

注:请和网管(NMS)提供商确认,关闭这些MIB节点是否对网管(NMS)的业务有影响,若存在影响,建议对有影响的MIB节点,不执行”snmp-agent mib-view excluded userinfo xxx”操作。



解决方案:

通过SNMP v1/v2获取的用户密码为****** 。

升级版本信息和升级日期:

产品名称

解决版本

版本时间

S2300/S2700/S3300/S3700

V100R006C03

2012-06-27

S3300HI/S5300HI/S5300/S5306
/S5700/S6300/S6700/S7700/S9300

V200R001C00SPC300

2012-07-31

AR1200/ AR2200/ AR3200

V200R002C01SPC200
补丁:V200R002SPC002

2012-07-06

Eudemon1000E-X/USG5500

V300R001C00SPC500

2012-07-10 

E200E-C/F&X3&X5&X7/USG2200&5100

V300R001C00SPC500

2012-07-10

E200E-B&X1&X2/USG2100/ EGW2100&2200&3200

V300R001C00SPC500

2012-07-10

SVN2200&5500系列

V200R001C01SPC200

2012-07-31

NIP2100&2200&5100

V100R001C01SPC200

2012-09-13

ATN

V200R001C02

2012-10-19

NE5000E

V800R003C00SPC600

2013-2-28

NE40E&80E

V600R005C00SPCB00
补丁:V600R005SPH016
补丁:V600R003SPH017

2012-12-7

2013-2-1

2013-2-5

ME60

V600R005C00SPCB00
补丁:V600R005SPH016

2012-12-7

2012-2-1

CX600

V600R005C00SPCB00
补丁:V600R005SPH016
补丁:V600R003SPH017

2012-12-7

2013-1-22

2013-2-5

NE20E-X6

补丁:V600R003SPH017

2013-2-5

UGW9811/GGSN9811

补丁:V900R009C01HP0003

2013-01-23

PDSN9660

补丁:V900R007C05SPH312

2013-03-07

 




该漏洞由Kurt Grutzmacher发现。华为应急响应团队并没有知悉该公告所描述的对该漏洞的任何公开声明或者恶意使用。

在此,华为公司对 Kurt Grutzmacher对华为公司产品的关注表示感谢。

对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。

对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助


2012-10-25 V1.0 INITIAL

2012-11-13 V1.1 UPDATE  刷新受影响的产品版本和规避措施

2012-11-24 V1.2 UPDATE  刷新规避措施

2013-01-05 V1.3 UPDATE  刷新受影响的产品版本,规避措施和版本修复计划

2013-03-18 V1.4 UPDATE  刷新版本修复计划


本文件按“原样”提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。 在任何情况下,华为技术有限公司,或其直接或间接控制的子公司,或其供应商,对任何损失,包括直接,间接,偶然,必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。华为可以随时对本文件所载的内容和信息进行修改或更新。


如果您要反馈华为产品的漏洞信息、获取华为公司安全应急响应服务及获取华为产品漏洞信息,请通过以下链接获取帮助:

http://www.huawei.com/cn/security/psirt