Перейти к содержимому
Калькуляторы

Срочно всем у кого каталисты смотрят в инет.

Ознакомьтесь срочно.

http://www.opennet.ru/opennews/art.shtml?num=48400

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Просканил всю свою сеть, нашел только на одном каталисте. Да и то он вне инета. Сейчас клиентов посмотрю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

28/03/2018 – Blog article posted.

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

 

Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, alexwin сказал:

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

 

Вот как просто сейчас быть какером. Достаточно найти свежую статью (,взять из нее скрипт) и хакать рукопопых админов,которые забили на всякие там апгрейды.

 :) Ну кто так строит (c) Было время, когда у меня пограничный 3750 с реальником жил, но это было в прошлом веке... Апгрейды кривой структуре не помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, которые считают что циска верх надежности. Пора бы и на метро поездить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Saab95 сказал:

Ага, которые считают что циска верх надежности. Пора бы и на метро поездить.

Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности.

 

2 минуты назад, YuryD сказал:

Апгрейды кривой структуре не помогут

Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет.

Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет.

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

 

И вообще роутеры должны быть чисто процессорные, тогда никакие атаки на перегрузку процессора не позволят прогнать трафик, который проходить не должен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, Saab95 сказал:

Конечно менее.

В далеке видно зарево зачинающегося холивара...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, alexwin сказал:

Микротик менее дырявый? Тут вопрос в рас3.14здяйстве,а не в надежности.

 

Да тут банально вопрос элементарной грамотности по безопасности: почему ненужные сервисы включены и смотрят наружу?

 Потому что в закрытых системах даже инженер с сертификатом не знает о недокументированности ничего, это и сааба касается... А базовых знаний на всё не хватает. Например ntp и dns ampl в микротике. Валидные службы вроде, отчего их отключать ? Про вланы управления у киско - ну там не всё просто. Но и дыры известные есть, cdp например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, Saab95 сказал:

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, alexwin сказал:

В далеке видно зарево зачинающегося холивара...

 Отчего бы благородным донам в выходные не повоевать, за кружкой хорошего напитка и на диване :) Кстати, по Розенталю вдалеке вроде слитно пишется ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И юзера завести минимум.

 

Только что, YuryD сказал:

Кстати, по Розенталю вдалеке вроде слитно пишется ?

Возможно,но так как смысл не утерян,не считается ;).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, alexwin сказал:

У cisco не вланы управления,а vty-интерфейсы,на которых по умолчанию отключены telnet/ssh/итд,чтобы зайти нужно сначала включить через transport input.

 :) Филология уже пошла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, YuryD сказал:

 :) Филология уже пошла.

Да не,уже физиология,так как мы обсуждаем,не является ли причиной повторяемости подобного рода атак места,из которых у некоторых специалистов руки растут.

Не,ну серьезно? Сложно посканить на предмет открытых портов оборудование,инвентаризацию лишний раз сделать?

 

Да все-то и не нужно,только то,что вовне торчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ? За новой прошивкой для еол оборудования ? Про vty вы правы, только попасть в вту сложно, надо быть в management vlan.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, Saab95 сказал:

Конечно менее

В веб-морде дырок нет у микротика? Микротики в интернетах.

 

 

3 минуты назад, YuryD сказал:

 Несложно просканить, сложно интерпретировать. Ну открыт порт, куда бежать ?

Может быть,в справку и если непонятно,то лучше с точки зрения  безопасности отключить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, alexwin сказал:

В веб-морде дырок нет у микротика? Микротики в интернетах.

 

 

Может быть,в справку и если непонятно,то лучше с точки зрения  безопасности отключить?

 Если производители не почешутся, ничего и не будет сделано. Никакое образование от вендора эксплуатанту не поможет, это раз. Два - ацли как правило программные, а цпу не бесконечен. ддос и привет... Что и как включено по умолчанию - даже с дипломом не знают. А далее - хождение по граблям...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, YuryD сказал:

Если производители не почешутся, ничего и не будет сделано

Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд. Понятно,что это не панацея (оно так и называется по англ. mitigation,прочувствуйте),потому что 0day/ddos'ы/пр. никто не отменял;это так называемая "минимизация поверхности атаки" (attack surface) и это практикуется в ИБ.

 

Ну вот,обсуждаемый случай,служба Smart Install в справке описана,выключается одной командой,описание уязвимости появилось в паблике в 2017г. Ну и все так сложно? Да все гораздо проще,мы-то с вами понимаем ;). Сисадмин - существо ленивое...

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, alexwin сказал:

следить за апгрейдами и апгредить софт

Спорное утверждение. :-)

 

Всегда вспоминаю цитату из READ.ME к Zortech C++ имени Уолтера Брайта (за дословность не отвечаю, т.к. по памяти):
 

Цитата

 

Исправлено XXX известных багов.

Добавлено неизвестное количество новых.

 

При работе с софтом - оно вот всегда так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, alexwin сказал:

Это спорный вопрос,элементарные действия по безопасности админ может предпринять,ту же веб-морду отключить,чтобы она в интернеты не смотрела;следить за апгрейдами и апгредить софт,итд.

 

 Об архитектуре вопрос. У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают. 1 процент маньяков-клиентов погоды не делает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, snvoronkov сказал:

При работе с софтом - оно вот всегда так.

Верно,но,если смотреть в разрезе безопасности,баг становиться уязвимостью,когда его кто-то находит ;). Помните недавнюю громкую уязвимость в SMB протоколе от мелкомягких (eternalblue)? Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет... Патчи-то уже были на момент эпидемии petja и vasja,и сколько машин они уконтропупили,потому что кто-то забивал хрен на обновления? ;)

 

10 минут назад, YuryD сказал:

У меня всё просто - бордер и инфраструктура зафайерволлена до моих понятий безопасности, этакий замок. А клиенты - пусть сами о своей безопасности пусть заботятся, а этого 99% из них не делают

Ну эт нормально для провайдера,проблемы клиентов - это их проблемы,провайдер им только доступ предоставляет.

 

Вот еще  веселый пример.Уже хорошо,что это не АЭС. )))

Изменено пользователем alexwin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, alexwin сказал:

Баг был там еще с шиндовс 98 (мелкомягкие выпустили патчи практически под все версии шиндовс как загремело),а эксплуатировать стали только спустя N лет...

Дык этой сиська-прорехе тоже уже второй год пошел :-)

 

http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel

 

Цитата

Специалист по анализу защищенности систем из компании Digital Security Александр Евстигнеев и сторонний эксперт Дмитрий Кузнецов на конференции ZeroNights 17 ноября 2016 г. заявили об архитектурных несовершенствах протокола Cisco Smart Install.

...

Изъян позволяет скопировать конфигурацию с коммутатора-клиента, заменить startup-config на коммутаторе-клиенте и перезагрузить его, обновить IOS на коммутаторе-клиенте или выполнить произвольный набор команд в консоли устройства.

...

На уведомление Digital Security об обнаруженных проблемах протокола Cisco ответила, что это не уязвимость, а просто неправильное использование возможностей протокола, не предусматривающего аутентификации.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, snvoronkov сказал:

Дык этой сиська-прорехе тоже уже второй год пошел :-)

 

http://safe.cnews.ru/news/top/2016-11-17_rossiyane_nashli_ziyayushchie_dyry_v_produktah_intel

 

 

Ну дык я ж про то и выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.