Jump to content
Калькуляторы

Срочно всем у кого каталисты смотрят в инет.

 Просканил всю свою сеть, нашел только на одном каталисте. Да и то он вне инета. Сейчас клиентов посмотрю

Share this post


Link to post
Share on other sites
Цитата

28/03/2018 – Blog article posted.

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

 

Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды.

Share this post


Link to post
Share on other sites
1 час назад, alexwin сказал:

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

 

Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды.

 :) Ну кто так строит (c) Было время, когда у меня пограничный 3750 с реальником жил, но это было в прошлом веке... Апгрейды кривой структуре не помогут.

Share this post


Link to post
Share on other sites

Ага, которые считают что циска верх надежности. Пора бы и на метро поездить.

Share this post


Link to post
Share on other sites
1 минуту назад, Saab95 сказал:

Ага, которые считают что циска верх надежности. Пора бы и на метро поездить.

Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности.

 

2 минуты назад, YuryD сказал:

Апгрейды кривой структуре не помогут

Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу?

Share this post


Link to post
Share on other sites

Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет.

Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет.

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

 

И вообще роутеры должны быть чисто процессорные, тогда никакие атаки на перегрузку процессора не позволят прогнать трафик, который проходить не должен.

Share this post


Link to post
Share on other sites
5 минут назад, Saab95 сказал:

Конечно менее.

В далеке видно зарево зачинающегося холивара...

Share this post


Link to post
Share on other sites
4 минуты назад, alexwin сказал:

Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности.

 

Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу?

 Потому что в закрытых системах даже инженер с сертификатом не знает о недокументированности ничего, это и сааба касается... А базовых знаний на всё не хватает. Например ntp и dns ampl в микротике. Валидные службы вроде, отчего их отключать ? Про вланы управления у киско - ну там не всё просто. Но и дыры известные есть, cdp например.

Share this post


Link to post
Share on other sites
6 минут назад, Saab95 сказал:

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input.

Share this post


Link to post
Share on other sites
1 минуту назад, alexwin сказал:

В далеке видно зарево зачинающегося холивара...

 Отчего бы благородным донам в выходные не повоевать, за кружкой хорошего напитка и на диване :) Кстати, по Розенталю вдалеке вроде слитно пишется ? :)

Share this post


Link to post
Share on other sites

И юзера завести минимум.

 

Только что, YuryD сказал:

Кстати, по Розенталю вдалеке вроде слитно пишется ?

Возможно,но так как смысл не утерян,не считается ;).

Share this post


Link to post
Share on other sites
1 минуту назад, alexwin сказал:

У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input.

 :) Филология уже пошла.

Share this post


Link to post
Share on other sites
1 минуту назад, YuryD сказал:

 :) Филология уже пошла.

Да не,уже физиология,так как мы обсуждаем,не является ли причиной повторяемости подобного рода атак места,из которых у некоторых специалистов руки растут.

Не,ну серьезно? Сложно посканить на предмет открытых портов оборудование,инвентаризацию лишний раз сделать?

 

Да все-то и не нужно,только то,что вовне торчит.

Share this post


Link to post
Share on other sites

 Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? За новой прошивкой для еол оборудования ? Про vty вы правы, только попасть в вту сложно, надо быть в management vlan.

Share this post


Link to post
Share on other sites
19 минут назад, Saab95 сказал:

Конечно менее

В веб-морде дырок нет у микротика? Микротики в интернетах.

 

 

3 минуты назад, YuryD сказал:

 Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ?

Может быть,в справку и если непонятно,то лучше с точки зрения  безопасности отключить?

Share this post


Link to post
Share on other sites
3 минуты назад, alexwin сказал:

В веб-морде дырок нет у микротика? Микротики в интернетах.

 

 

Может быть,в справку и если непонятно,то лучше с точки зрения  безопасности отключить?

 Если производители не почешутся, ничего и не будет сделано. Никакое образование от вендора эксплуатанту не поможет, это раз. Два - ацли как правило программные, а цпу не бесконечен. ддос и привет... Что и как включено по умолчанию - даже с дипломом не знают. А далее - хождение по граблям...

Share this post


Link to post
Share on other sites
19 минут назад, YuryD сказал:

Если производители не почешутся, ничего и не будет сделано

Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Понятно,что это не панацея (оно так и называется по англ. mitigation,прочувствуйте),потому что 0day/ddos'ы/пр. никто не отменял;это так называемая "минимизация поверхности атаки" (attack surface) и это практикуется в ИБ.

 

Ну вот,обсуждаемый случай,служба Smart Install в справке описана,выключается одной командой,описание уязвимости появилось в паблике в 2017г. Ну и все так сложно? Да все гораздо проще,мы-то с вами понимаем ;). Сисадмин - существо ленивое...

Edited by alexwin

Share this post


Link to post
Share on other sites
3 минуты назад, alexwin сказал:

следить за апгрейдами и апгредить софт

Спорное утверждение. :-)

 

Всегда вспоминаю цитату из READ.ME к Zortech C++ имени Уолтера Брайта (за дословность не отвечаю, т.к. по памяти):
 

Цитата

 

Исправлено XXX известных багов.

Добавлено неизвестное количество новых.

 

При работе с софтом - оно вот всегда так.

Share this post


Link to post
Share on other sites
5 минут назад, alexwin сказал:

Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд.

 

 Об архитектуре вопрос. У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают. 1 процент маньяков-клиентов погоды не делает.

Share this post


Link to post
Share on other sites
11 минут назад, snvoronkov сказал:

При работе с софтом - оно вот всегда так.

Верно,но,если смотреть в разрезе безопасности,баг становиться уязвимостью,когда его кто-то находит ;). Помните недавнюю громкую уязвимость в SMB протоколе от мелкомягких (eternalblue)? Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Патчи-то уже были на момент эпидемии petja и vasja,и сколько машин они уконтропупили,потому что кто-то забивал хрен на обновления? ;)

 

10 минут назад, YuryD сказал:

У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают

Ну эт нормально для провайдера,проблемы клиентов - это их проблемы,провайдер им только доступ предоставляет.

 

Вот еще  веселый пример.Уже хорошо,что это не АЭС. )))

Edited by alexwin

Share this post


Link to post
Share on other sites
6 минут назад, alexwin сказал:

Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет...

Дык этой сиська-прорехе тоже уже второй год пошел :-)

 

http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel

 

Цитата

Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install.

...

Изъян позволяет скопировать конфигурацию с коммутатора-клиента, заменить startup-config на коммутаторе-клиенте и перезагрузить его, обновить IOS на коммутаторе-клиенте или выполнить произвольный набор команд в консоли устройства.

...

На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации.

 

Share this post


Link to post
Share on other sites
11 минут назад, snvoronkov сказал:

Дык этой сиська-прорехе тоже уже второй год пошел :-)

 

http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel

 

 

Ну дык я ж про то и выше.

Share this post


Link to post
Share on other sites

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now