Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 26
закрыть уязвимость — это только закрыть первую дверь. Если к железке уже подключались и уже модифицировали под свои нужды, то нужно еще и эту дрянь убирать. Что-то мне подсказывает что чтобы не использовать эксплойт каждый раз (и вдруг его прикроют) — всяко лучше перебрать доступные железки и залепить туда аккуратненький бэкдор. Для сетевых железок которые онлайн 24/7/356 и которые гонят через себя магистрали — я бы лично так и сделал, а это в первую очередь.
Бэкапьте рабочую конфигурацию железки и прошивку после первоначальной настройки. Это коммутатор, вряд ли Вы ежедневно крутите его параметры.
Возми чистую флешку, залей свежескаченный ios, залей конфиг из бекапа — всех делов-то на 5 минут. Заодно и обновишся… :)
В списке практически нет «магистрального» железа, под него подходит всего пара перечисленных моделей да и то — с натяжкой. Остальное — чисто access switch, то есть — из внешней сети скорей всего недоступен бай дефолт.
Для сетевых железок которые онлайн 24/7/356 и которые гонят через себя магистрали
В списке практически нет «магистрального» железа, под него подходит всего пара перечисленных моделей да и то — с натяжкой. Остальное — чисто access switch, то есть — из внешней сети скорей всего недоступен бай дефолт.
Telnet такой telnet.
Я правильно помню, что в РФ k9 не продавался, а стало быть и ssh было недоступно?
Старенький Cisco Catalyst WS-C2950-24 при указании команды
show subsys class protocol | include ^cmpвыдает
cmp Protocol 1.000.001А в списке устройств его нет. Стало быть, список не полон?
По нынешней тенденции давать уязвимостям имена типа Heartbleed, Shellshock, и т.п. предлагаю эту штуку назвать «ClusterF#ck» :)
может хватит уже БекДоры АНБ/ЦРУ называть уязвимостями или багами…
по моему никто не верит что АНБ и ЦРУ как Стахановцы готовы только коммутаторы Циско взламывать по 318 за раз.
PS Есть большое подозрение что когда вскрывается 1 дырка которая на самом деле была закладка и вендоры вынуждены выпускать патч, то в этом патче или следующем содержится новый бекдор.
Возможно имеет смысл порыться и дизасемблировать патчи Windows, которые затыкают вскрытые бекдоры. По моей теории в них или последующих патчах/апгрейдах на эту подсистему (например Стек TCP/IP) д.б. новые бекдоры. Патчи сравнительно маленькие и проанализировать их проще чем весть код стека TCP/IP или прошивки устройства. причём т.к. прошивки меняют сильно реже то по моим предположениям, каждый патч должен содержать новый бекдор, а искать его надо только в изменённом коде прошивки.
Хотелось бы комментариев моей теории от специалистов.
по моему никто не верит что АНБ и ЦРУ как Стахановцы готовы только коммутаторы Циско взламывать по 318 за раз.
PS Есть большое подозрение что когда вскрывается 1 дырка которая на самом деле была закладка и вендоры вынуждены выпускать патч, то в этом патче или следующем содержится новый бекдор.
Возможно имеет смысл порыться и дизасемблировать патчи Windows, которые затыкают вскрытые бекдоры. По моей теории в них или последующих патчах/апгрейдах на эту подсистему (например Стек TCP/IP) д.б. новые бекдоры. Патчи сравнительно маленькие и проанализировать их проще чем весть код стека TCP/IP или прошивки устройства. причём т.к. прошивки меняют сильно реже то по моим предположениям, каждый патч должен содержать новый бекдор, а искать его надо только в изменённом коде прошивки.
Хотелось бы комментариев моей теории от специалистов.
имеет смысл порыться и дизасемблировать патчи Windows
Бекдоры на то и бекдоры, что их так просто не разглядеть дисассемблировав.
Как говорится, «с языка снял», поддерживаю эту точку зрения на 100%. Да и изначально, совсем не обязательно было всей Cisco или Microsoft знать об этих «багах», просто конкретный человек делает свое дело для конторы и иже с ними. А даже если и знали, то неужели кто-то верит, что они сейчас посыпая голову пеплом бренды скажут, что знали…
Cisco пообещала выпустить патч в будущем.
И патч будет доступен только при наличии активной подписки. А подписка — только за денежку.
"Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ"
Вроде и не скажешь, что MikroTik сильно мелкие, так что спорное утверждение: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
cat0#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
cat0#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Чтобы это могла значить?
Коллеги подскажите, предоставляет ли cisco обновленные прошивки, хотя бы безопасности без контракта и прочего? Может неофициальный ресурс подскажите с последними прошивками.
Может неофициальный ресурс подскажите с последними прошивками.
И свежими дырками.
Да, предоставляет, официально, с некоторыми оговорками, регулируется это Security Vulnerability Policy: http://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html#ssu
Процедура выглядит следующим образом, вы открываете в TAC заявку на обновление программного обеспечения. В качестве причины, указываете на конкретный опубликованный Cisco документ (только на их сайте, это очень важно!), о том, что программное обеспечение, установленное на вашем устройстве, подвержено уязвимости. После анализа вашей ситуации, инженер TAC направит официальный запрос на выдачу, вам обновления, версию обновления вы выберете сами.
P/S/ Я не так давно, сам проходил данную процедуру и хотя инженер TAC трижды сказал, что мне нужен контракт, тем не менее, после того, как я указал на документ выше, он согласился, что я всё же имею право на получение обновления в данном конкретном случае.
Процедура выглядит следующим образом, вы открываете в TAC заявку на обновление программного обеспечения. В качестве причины, указываете на конкретный опубликованный Cisco документ (только на их сайте, это очень важно!), о том, что программное обеспечение, установленное на вашем устройстве, подвержено уязвимости. После анализа вашей ситуации, инженер TAC направит официальный запрос на выдачу, вам обновления, версию обновления вы выберете сами.
P/S/ Я не так давно, сам проходил данную процедуру и хотя инженер TAC трижды сказал, что мне нужен контракт, тем не менее, после того, как я указал на документ выше, он согласился, что я всё же имею право на получение обновления в данном конкретном случае.
zanswer, спасибо
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ