Fuskbyggen revisited: två skillnader

av Stefan Pettersson

Title: Samsung Printer Backdoor Account

Description: Network-aware printers manufactured by Samsung before October 31, 2012 (including some Dell printers actually built by Samsung) have a hard-coded SNMP read-write community string, which enables full administrative access to the device – even when SNMP has been disabled by the user. A patch is currently being developed by Samsung; in the interim, users should consider blocking all SNMP traffic to impacted printers, which likely contain sensitive information that could be used by an attacker or industrial spy.

Reference:
http://www.kb.cert.org/vuls/id/281284
http://l8security.com/post/36715280176/vu-281284-samsung-printer-snmp-backdoor

Det här möts man av i veckans @RISK-nyhetsbrev från SANS (min fetstil). Jag skrev om fuskbyggen tidigare, alla fuskbyggen är dock inte jämlika, det finns skillander.

Skillnad #1: det finns buggar och det finns buggar

Buggar och säkerhetsbuggar har alltid funnits och kommer alltid att finnas. I samma nyhetsbrev som ovan rapporteras också CVE-2012-5533, en DoS-bugg i lighthttpd: genom att skicka ett request med en header där en token är tom hamnar servern i en oändlig loop och slutar svara. Det är ett misstag som är lätt att göra och förvisso går det att upptäcka sånt genom testning, problemet med kombinatorisk explosion gör dock att det är omöjligt att täcka alla testfall. Med andra ord, sådana här buggar kommer att dyka upp emellanåt. Deal with it.

En hårdkodad community string på en skrivares SNMP-server är en helt annan bugg. Det är förresten ingen bugg, det är slarv. Att strängen dessutom verkar har funnits sedan 2004(!) gör det bara mer besvärande. Det är helt enkelt inte okej.

Skillnad #2: det finns mjukvaror och det finns mjukvaror

Det är en sak om ett företag utvecklar mjukvara som de ska använda själva, och slarvar. De flesta har inget problem med någon som binder ris för egen rygg. Däremot, om företaget utvecklar mjukvara med avsikt att sälja den – kräva pengar i utbyte för att någon ska få använda den – och slarvar. Det är helt enkelt inte okej.

Eller finns det förmildrande omständigheter?

Annonser