English

◀◁ 뒤로 취약점ID 20011 위험도 40 포트 161 프로토콜 UDP 분류 Snmp 상세설명 해당 서버에 SNMP (Simple Network Management Protocol) 서비스가 가동되며, SNMP Community Name이 설정되어 있지 않아 임의의 Community Name을 이용하여 시스템 정보를 바꿀 수 있는 권한을 허용하고 있다. 원격지의 사용자들이 어떠한 Community Name을 가지고도 SNMP Agent를 액세스할 수 있도록 되어 있어 Attacker들은 네트워크 장치들에 있는 정보나 현재 맺어진 접속들 등과 같은 시스템에 관한 중요한 정보를 획득하는데 SNMP를 사용할 수 있다. 또한 쓰기 권한이 허용되어 있어 어떠한 인증도 거치지 않고 인터페이스들을 죽이거나 네트워크 접속들을 다운시키는 것과 같이 디바이스/운영체제의 자원들(properties)을 임의로 값으로 설정할 수도 있다. 해결책 다음과 같이 SNMP 서비스를 중지시키거나 관련 조치를 해야 한다. ① 사용하지 않는다면 SNMP 서비스를 중지시킨다. - UNIX : ps 명령을 이용하여 snmp 데몬 프로세스의 pid를 확인후 kill 시킨다. 또한 부팅시 SNMP 서비스가 자동으로 시작되지 않게끔 rc script를 찾아 관련 조치를 한다.(OS 매뉴얼 참조) - Solaris 10, Solaris 11: # svcadm disable svc:/application/management/snmpdx - Enterprise Linux 6.4, CentOS 6.4, Fedora 19: # /etc/init.d/snmpd stop # rpm -e (snmp name) - Windows : services.msc 실행 -> '서비스'에서 '시작 유형'을 '사용 안함'으로 만든후, SNMP 서비스를 중지시킨다. ② Community Name을 추측하기 어려운 단어로 설정한다. - Unix : /etc/snmpd.conf에서 set-community-name 설정 - Router : show config 해서 snmp-community 확인 및 수정 - Windows : services.msc 실행 -> '서비스'에 있는 '보안' 탭에서 커뮤니티 이름 및 '권한'을 편집한다. ③ 네트웍의 진입지접, 즉 Gateway에서 161/UDP 포트를 필터링한다. 관련 URL CVE-1999-0517 (CVE) 관련 URL (SecurityFocus) 관련 URL 134 (ISS)