ShyLion Posted April 7, 2018 Posted April 7, 2018 Ознакомьтесь срочно. http://www.opennet.ru/opennews/art.shtml?num=48400 Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 Просканил всю свою сеть, нашел только на одном каталисте. Да и то он вне инета. Сейчас клиентов посмотрю Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 Цитата 28/03/2018 – Blog article posted. https://embedi.com/blog/cisco-smart-install-remote-code-execution/ Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды. Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 1 час назад, alexwin сказал: https://embedi.com/blog/cisco-smart-install-remote-code-execution/ Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды. :) Ну кто так строит (c) Было время, когда у меня пограничный 3750 с реальником жил, но это было в прошлом веке... Апгрейды кривой структуре не помогут. Вставить ник Quote
Saab95 Posted April 7, 2018 Posted April 7, 2018 Ага, которые считают что циска верх надежности. Пора бы и на метро поездить. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 1 минуту назад, Saab95 сказал: Ага, которые считают что циска верх надежности. Пора бы и на метро поездить. Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности. 2 минуты назад, YuryD сказал: Апгрейды кривой структуре не помогут Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу? Вставить ник Quote
Saab95 Posted April 7, 2018 Posted April 7, 2018 Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет. Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет. А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно. И вообще роутеры должны быть чисто процессорные, тогда никакие атаки на перегрузку процессора не позволят прогнать трафик, который проходить не должен. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 5 минут назад, Saab95 сказал: Конечно менее. В далеке видно зарево зачинающегося холивара... Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 4 минуты назад, alexwin сказал: Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности. Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу? Потому что в закрытых системах даже инженер с сертификатом не знает о недокументированности ничего, это и сааба касается... А базовых знаний на всё не хватает. Например ntp и dns ampl в микротике. Валидные службы вроде, отчего их отключать ? Про вланы управления у киско - ну там не всё просто. Но и дыры известные есть, cdp например. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 6 минут назад, Saab95 сказал: А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно. У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input. Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 1 минуту назад, alexwin сказал: В далеке видно зарево зачинающегося холивара... Отчего бы благородным донам в выходные не повоевать, за кружкой хорошего напитка и на диване :) Кстати, по Розенталю вдалеке вроде слитно пишется ? :) Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 И юзера завести минимум. Только что, YuryD сказал: Кстати, по Розенталю вдалеке вроде слитно пишется ? Возможно,но так как смысл не утерян,не считается ;). Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 1 минуту назад, alexwin сказал: У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input. :) Филология уже пошла. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 1 минуту назад, YuryD сказал: :) Филология уже пошла. Да не,уже физиология,так как мы обсуждаем,не является ли причиной повторяемости подобного рода атак места,из которых у некоторых специалистов руки растут. Не,ну серьезно? Сложно посканить на предмет открытых портов оборудование,инвентаризацию лишний раз сделать? Да все-то и не нужно,только то,что вовне торчит. Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? За новой прошивкой для еол оборудования ? Про vty вы правы, только попасть в вту сложно, надо быть в management vlan. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 19 минут назад, Saab95 сказал: Конечно менее В веб-морде дырок нет у микротика? Микротики в интернетах. 3 минуты назад, YuryD сказал: Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? Может быть,в справку и если непонятно,то лучше с точки зрения безопасности отключить? Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 3 минуты назад, alexwin сказал: В веб-морде дырок нет у микротика? Микротики в интернетах. Может быть,в справку и если непонятно,то лучше с точки зрения безопасности отключить? Если производители не почешутся, ничего и не будет сделано. Никакое образование от вендора эксплуатанту не поможет, это раз. Два - ацли как правило программные, а цпу не бесконечен. ддос и привет... Что и как включено по умолчанию - даже с дипломом не знают. А далее - хождение по граблям... Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 (edited) 19 минут назад, YuryD сказал: Если производители не почешутся, ничего и не будет сделано Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Понятно,что это не панацея (оно так и называется по англ. mitigation,прочувствуйте),потому что 0day/ddos'ы/пр. никто не отменял;это так называемая "минимизация поверхности атаки" (attack surface) и это практикуется в ИБ. Ну вот,обсуждаемый случай,служба Smart Install в справке описана,выключается одной командой,описание уязвимости появилось в паблике в 2017г. Ну и все так сложно? Да все гораздо проще,мы-то с вами понимаем ;). Сисадмин - существо ленивое... Edited April 7, 2018 by alexwin Вставить ник Quote
snvoronkov Posted April 7, 2018 Posted April 7, 2018 3 минуты назад, alexwin сказал: следить за апгрейдами и апгредить софт Спорное утверждение. :-) Всегда вспоминаю цитату из READ.ME к Zortech C++ имени Уолтера Брайта (за дословность не отвечаю, т.к. по памяти): Цитата Исправлено XXX известных багов. Добавлено неизвестное количество новых. При работе с софтом - оно вот всегда так. Вставить ник Quote
YuryD Posted April 7, 2018 Posted April 7, 2018 5 минут назад, alexwin сказал: Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Об архитектуре вопрос. У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают. 1 процент маньяков-клиентов погоды не делает. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 (edited) 11 минут назад, snvoronkov сказал: При работе с софтом - оно вот всегда так. Верно,но,если смотреть в разрезе безопасности,баг становиться уязвимостью,когда его кто-то находит ;). Помните недавнюю громкую уязвимость в SMB протоколе от мелкомягких (eternalblue)? Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Патчи-то уже были на момент эпидемии petja и vasja,и сколько машин они уконтропупили,потому что кто-то забивал хрен на обновления? ;) 10 минут назад, YuryD сказал: У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают Ну эт нормально для провайдера,проблемы клиентов - это их проблемы,провайдер им только доступ предоставляет. Вот еще веселый пример.Уже хорошо,что это не АЭС. ))) Edited April 7, 2018 by alexwin Вставить ник Quote
snvoronkov Posted April 7, 2018 Posted April 7, 2018 6 минут назад, alexwin сказал: Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Дык этой сиська-прорехе тоже уже второй год пошел :-) http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel Цитата Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install. ... Изъян позволяет скопировать конфигурацию с коммутатора-клиента, заменить startup-config на коммутаторе-клиенте и перезагрузить его, обновить IOS на коммутаторе-клиенте или выполнить произвольный набор команд в консоли устройства. ... На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации. Вставить ник Quote
alexwin Posted April 7, 2018 Posted April 7, 2018 11 минут назад, snvoronkov сказал: Дык этой сиська-прорехе тоже уже второй год пошел :-) http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel Ну дык я ж про то и выше. Вставить ник Quote
jffulcrum Posted April 7, 2018 Posted April 7, 2018 Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.