[GTER] CPEs com SNMP aberto no Brasil

Bruno Cabral bruno at openline.com.br
Mon Jan 29 11:20:54 -02 2018


Voce devia encaminhar essa mensagem pra lista gts
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Andre Sencioles <asenci at gmail.com>
Enviado: domingo, 28 de janeiro de 2018 22:28:32
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: [GTER] CPEs com SNMP aberto no Brasil

Olá senhores,

Assisti recentemente uma apresentação sobre DDoS e um dos slides me chamou
a atenção.

O apresentador estava falando sobre amplificação de ataques usando SNMP,
até então nenhuma novidade.  O slide seguinte trazia as estatísticas dos
maiores países em número de dispositivos respondendo consultas SNMP.
Para minha surpresa, o Brasil estava em primeiro lugar, com quase 5x a
quantidade de dispositivos do segundo colocado!
Os slides da apresentação ainda não estão disponíveis, mas incluí o link
para a gravação do streaming abaixo.

Não tenho acompanhado a lista de perto recentemente, mas uma breve busca
não retornou nenhum resultado que indicasse que a gravidade do problema
fosse conhecida, então resolvi enviar este e-mail.


Gerei um relatório atualizado utilizando o Shodan.io e o resultado foi:

Top Countries
Brazil 902,051
United States 234,645
India 230,695
Korea, Republic of 213,733
China 135,597
Italy 93,194
France 52,858
Spain 51,399
Argentina 47,692
Thailand 46,889


Mesmo admitindo que parte do resultado é de equipamentos de provedores e
empresas, a maioria absoluta parece ser de dispositivos CPE. Se observarmos
as estatísticas por zona da entrada PTR, temos:

veloxzone.com.br 318,518
virtua.com.br 256,374
brasiltelecom.net.br 54,940
skybandalarga.com.br 18,583
gvt.net.br 7,647


Verifiquei os detalhes das duas primeiras páginas de resultados, e a
maioria dos dispositivos não possuía mais nenhuma porta aberta além da
porta udp/161, o que parece indicar que a configuração dos dispositivos não
foi alterada pelos usuários após a instalação.


Não tenho acesso a nenhum CPE no Brasil para efetuar mais testes e tentar
identificar as versões afetadas, caso alguém tenha acesso a CPEs de
diferentes provedores, seria interessante efetuar testes com diferentes
versões de firmware.


Links para as fontes:
Relatório Shodan.io "port:161": https://www.shodan.io/report/Dj6nIPXv
Relatório Shodan.io "port:161 country:BR":
https://www.shodan.io/report/hrZlMDFK
Apresentação com o slide original:
https://gaming.youtube.com/watch?t=2486&v=muzmksAyNSA


Att,
Andre Sencioles
--
gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list