대부분 SNMP로 접근할 수 있는 IP 대역을 제한하고 사용하실 것으로 생각하고 따로 언급하지는 않았습니다만, SNMP 스캔이 계속 증가하고 있다는 소식을 보고 늦었지만 한 번 정리해서 올려야겠다는 생각이 들었습니다.

이번 취약점은 6월 10일에 발표된 것으로 SNMPv3 프로토콜에서 HMAC으로 인증하는 코드의 문제입니다. HMAC 길이를 클라이언트 측에서 보내준대로 쓰기 때문에, 길이를 1로 보내면 첫 바이트만 확인하고 끝납니다. 1바이트 추측하는 것 정도는 정말 쉽기 때문에 인증을 우회할 수 있습니다.

Net-SNMP 뿐 아니라 SNMP를 지원하는 여러 벤더의 제품에서도 같은 취약점이 발견되었으니 가급적 빠른 시일 내에 패치하시고, 그동안 접근 제한이 잘 안 되어있었다면 이번 기회에 ACL을 강화하시는 것이 좋겠습니다. 벤더들이 Net-SNMP 코드를 그대로 가져다 썼던건지 아니면 우연의 일치로(?) 구현에 버그가 있었던건지는 아무도 모르겠죠 (..)

취약점에 대한 자세한 정보는 아래 링크를 참조하시기 바랍니다.
http://nchovy.kr/security/cve/CVE-2008-0960
http://secunia.com/advisories/30574

익스플로잇은 아래 링크를 참조하시기 바랍니다.
http://www.milw0rm.com/exploits/5790

UDP 161, 162 포트를 대상으로 한 SNMP 스캔의 증가에 관해서는 Arbor Networks의 자료를 참고하시기 바랍니다.
http://asert.arbornetworks.com/2008/06/snmp-scanning-increase/