ShyLion Posted April 7, 2018 · Report post Ознакомьтесь срочно. http://www.opennet.ru/opennews/art.shtml?num=48400 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
virus_net Posted April 7, 2018 · Report post Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post Просканил всю свою сеть, нашел только на одном каталисте. Да и то он вне инета. Сейчас клиентов посмотрю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post Цитата 28/03/2018 – Blog article posted. https://embedi.com/blog/cisco-smart-install-remote-code-execution/ Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 1 час назад, alexwin сказал: https://embedi.com/blog/cisco-smart-install-remote-code-execution/ Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды. :) Ну кто так строит (c) Было время, когда у меня пограничный 3750 с реальником жил, но это было в прошлом веке... Апгрейды кривой структуре не помогут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 7, 2018 · Report post Ага, которые считают что циска верх надежности. Пора бы и на метро поездить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 1 минуту назад, Saab95 сказал: Ага, которые считают что циска верх надежности. Пора бы и на метро поездить. Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности. 2 минуты назад, YuryD сказал: Апгрейды кривой структуре не помогут Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 7, 2018 · Report post Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет. Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет. А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно. И вообще роутеры должны быть чисто процессорные, тогда никакие атаки на перегрузку процессора не позволят прогнать трафик, который проходить не должен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 5 минут назад, Saab95 сказал: Конечно менее. В далеке видно зарево зачинающегося холивара... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 4 минуты назад, alexwin сказал: Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности. Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу? Потому что в закрытых системах даже инженер с сертификатом не знает о недокументированности ничего, это и сааба касается... А базовых знаний на всё не хватает. Например ntp и dns ampl в микротике. Валидные службы вроде, отчего их отключать ? Про вланы управления у киско - ну там не всё просто. Но и дыры известные есть, cdp например. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 6 минут назад, Saab95 сказал: А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно. У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 1 минуту назад, alexwin сказал: В далеке видно зарево зачинающегося холивара... Отчего бы благородным донам в выходные не повоевать, за кружкой хорошего напитка и на диване :) Кстати, по Розенталю вдалеке вроде слитно пишется ? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post И юзера завести минимум. Только что, YuryD сказал: Кстати, по Розенталю вдалеке вроде слитно пишется ? Возможно,но так как смысл не утерян,не считается ;). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 1 минуту назад, alexwin сказал: У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input. :) Филология уже пошла. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 1 минуту назад, YuryD сказал: :) Филология уже пошла. Да не,уже физиология,так как мы обсуждаем,не является ли причиной повторяемости подобного рода атак места,из которых у некоторых специалистов руки растут. Не,ну серьезно? Сложно посканить на предмет открытых портов оборудование,инвентаризацию лишний раз сделать? Да все-то и не нужно,только то,что вовне торчит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? За новой прошивкой для еол оборудования ? Про vty вы правы, только попасть в вту сложно, надо быть в management vlan. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 19 минут назад, Saab95 сказал: Конечно менее В веб-морде дырок нет у микротика? Микротики в интернетах. 3 минуты назад, YuryD сказал: Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? Может быть,в справку и если непонятно,то лучше с точки зрения безопасности отключить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 3 минуты назад, alexwin сказал: В веб-морде дырок нет у микротика? Микротики в интернетах. Может быть,в справку и если непонятно,то лучше с точки зрения безопасности отключить? Если производители не почешутся, ничего и не будет сделано. Никакое образование от вендора эксплуатанту не поможет, это раз. Два - ацли как правило программные, а цпу не бесконечен. ддос и привет... Что и как включено по умолчанию - даже с дипломом не знают. А далее - хождение по граблям... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 (edited) · Report post 19 минут назад, YuryD сказал: Если производители не почешутся, ничего и не будет сделано Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Понятно,что это не панацея (оно так и называется по англ. mitigation,прочувствуйте),потому что 0day/ddos'ы/пр. никто не отменял;это так называемая "минимизация поверхности атаки" (attack surface) и это практикуется в ИБ. Ну вот,обсуждаемый случай,служба Smart Install в справке описана,выключается одной командой,описание уязвимости появилось в паблике в 2017г. Ну и все так сложно? Да все гораздо проще,мы-то с вами понимаем ;). Сисадмин - существо ленивое... Edited April 7, 2018 by alexwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 7, 2018 · Report post 3 минуты назад, alexwin сказал: следить за апгрейдами и апгредить софт Спорное утверждение. :-) Всегда вспоминаю цитату из READ.ME к Zortech C++ имени Уолтера Брайта (за дословность не отвечаю, т.к. по памяти): Цитата Исправлено XXX известных багов. Добавлено неизвестное количество новых. При работе с софтом - оно вот всегда так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted April 7, 2018 · Report post 5 минут назад, alexwin сказал: Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Об архитектуре вопрос. У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают. 1 процент маньяков-клиентов погоды не делает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 (edited) · Report post 11 минут назад, snvoronkov сказал: При работе с софтом - оно вот всегда так. Верно,но,если смотреть в разрезе безопасности,баг становиться уязвимостью,когда его кто-то находит ;). Помните недавнюю громкую уязвимость в SMB протоколе от мелкомягких (eternalblue)? Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Патчи-то уже были на момент эпидемии petja и vasja,и сколько машин они уконтропупили,потому что кто-то забивал хрен на обновления? ;) 10 минут назад, YuryD сказал: У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают Ну эт нормально для провайдера,проблемы клиентов - это их проблемы,провайдер им только доступ предоставляет. Вот еще веселый пример.Уже хорошо,что это не АЭС. ))) Edited April 7, 2018 by alexwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 7, 2018 · Report post 6 минут назад, alexwin сказал: Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Дык этой сиська-прорехе тоже уже второй год пошел :-) http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel Цитата Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install. ... Изъян позволяет скопировать конфигурацию с коммутатора-клиента, заменить startup-config на коммутаторе-клиенте и перезагрузить его, обновить IOS на коммутаторе-клиенте или выполнить произвольный набор команд в консоли устройства. ... На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted April 7, 2018 · Report post 11 минут назад, snvoronkov сказал: Дык этой сиська-прорехе тоже уже второй год пошел :-) http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel Ну дык я ж про то и выше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 7, 2018 · Report post Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...