Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 59
А что было в running-config (в общих словах) ? Скажут то был наш honeypot динамический и дело с концом
Если вкратце, то был настроен VLAN. И еще как-минимум 5 хостов с внутренними ip адресами 172.16.xxx.xxx были подключены к устройству.
Обидно (. Ну что тут сказать, не знаю насколько по нашим законам можно было сохранить конфиг или хотя бы MAC адреса подключенных устройств, и потом в уязвимость добавить что, hey, у вас к этой Cisco оборудование таких-то вендоров подключено было. Наверное, от схемы "закрыть по тихому и как ничего не было" не очень поможет, не воспроизводится же мол.
Нужно было скачать garbage
Скорее всего Вы подключились на консоль нового коммутатора, к которому временно открыли доступ для ПНР.
Вот пример такого подключения:
https://habr.com/ru/articles/859260/
Может быть и так, но данный IP адрес был в скоупе. Т.е. всем багхантерам буквально говорят, вот вам ip xxx.xxx.xxx.xxx - нужно найти там уязвимости. Вы тратите время, находите уязвимость, пишите отчет, а вам отвечают - сорян чувак, это был временный доступ для ПНР/это ханипот/это мы специально уязвимость сделали чтоб сканер потестить/другая причина. Мне кажется это странным. Зачем тогда этот ip адрес включать в программу?
Проводят мероприятие, ради мероприятия. А что там сделали внешние ребята не важно, а вот свои люди - молодцы. Им и сам бублик дали, а всем по дырке или в .....
Возможно я не прав, поправьте меня.
Да все может быть гораздо проще. О том, что там в конкретный момент времени делал рядовой админ, организаторы баг баунти ни сном, ни духом. Затем они проверяют ваш отчет, и, разумеется, ничего не находят, поскольку админ уже просто в рамках своей работы все переделал. И теперь попробуйте посмотреть на ситуацию с их точки зрения - есть репорт, который ничем не подтверждается.
Подтверждается видео, где я в консоли выгружаю конфиг. Можно зайти на устройство, выполнить аналогичную команду и сравнить вывод.
Ну и еще есть такая штука как логирование - при желание можно найти все. Но нужно желание.
Можно зайти на устройство, выполнить аналогичную команду и сравнить вывод.
Или нельзя, потому что см. ответ - устройство выведено из эксплуатации. Скорее всего, описанная ситуация действительно попросту вне скоупа той программы бб, в которой вы участвовали.
Этот хост еще как минимум полгода был в сети (а может и больше), с этим же закрытым портом 2067. И этот ip, согласно правилам программы, был в скоупе.
Один и тот же IP - не всегда один и тот же хост, а скоуп - это не только адреса. Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы находите в офисе компании бумажку с логином-паролем, которую кто-то обронил. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме? Ну, сомнительно.
Абстрагируясь от нынешней ситуации, представьте себе такое - программа бб по поиску уязвимостей в форме авторизации на сайте, а вы заходите в систему под дефолтными кредами admin/admin. Угроза - да, безусловно. Должны ли вам выплатить вознаграждение за нахождение бага в форме?
Нет, не должны.
А за такое платят. Использование дефолтных кредов это широко известная и распространенная уязвимость.
Умные люди даже соответствующие идентификаторы присвоили:
https://cwe.mitre.org/data/definitions/1392.html
https://cwe.mitre.org/data/definitions/1393.html
Примеры отчетов:
https://hackerone.com/reports/954818
https://hackerone.com/reports/2160178
Вы же сами подтвердили формальные границы - "уязвимости в форме авторизации". Не на хосте вообще, не в системе авторизации вообще, не соответствие какой-либо политике безопасности или что-то ещё. Дефолтные креды - это не баг в форме авторизации, а может быть даже и вообще не баг в каком-то конкретном тестировании. Это не соревнование в форме CTF с призами, а тестирование ровно того, что в рамках конкретной программы желает протестировать заказчик. Если вы нашли что-то еще - вам могут сказать "спасибо", но никаких обязательств заплатить вам денег это ни на кого не накладывает (хотя иногда могут).
Точно так же как если вы пишете заказной софт по ТЗ, вам заплатят за то, что указано в ТЗ. А если вы заложили и сделали какой-то еще полезный заказчику, но не оговоренный функционал и теперь просите с заказчика дополнительных денег - не надо ожидать, что он обязан заплатить (хотя опять же бывает, что и может).
И я даже не говорю о том, что платят обычно за уязвимости, о которых заказчик не знает. Если же он и так знает, что у него дефолтные пароли или на время какой-то настройки маршрутизатор голой задницей в инет торчит - за это тоже платить не будут, даже если это плохо и небезопасно.
Пардон, но мне кажется, что мы с вами на разных языках говорим.
У вас коммерческий опыт в багхантинге имеется? Сданные отчёты с уязвимостями? Просто хочется понимать, имеете ли вы представление о том как выглядит типичная программа поиска уязвимостей, что такое скоуп, какие бывают ограничения и т.д.
Вас это не приблизило к "недопустимому событию", а оплачивается только оно вне зависимости от количества найденных в процессе уязвимостей.
У меня подобных репортов наберётся с десяток и я не считаю, что за них надо платить. Поблагодарить за уведомление и исправить косяк, а не провоцировать beg bounty из-за любой ерунды.
Обидно. Но это госы, там за такие уязвимости могут кому-то по шапке надавать. Я однажды случайно нашёл дыру на сайтах мировых судов, позволяющую грузить в корневую директорию сайта (доступную по http) что угодно. Сам попытался связаться с НИИ Восход (кажется они были заявлены в качестве авторов), там меня связали непосредсвенно с "разработчиком", которому я всё объяснил и он сделал вид что мне не поверил, но уязвимость закрыли.
Им проще по-тихому замять, чем объясняться перед начальством как так вышло.
У меня такое же мнение сложилось. Т.к. это была ГИС (государсвтенная информационная система), то она 99% была аттестована согласно требованияем ФСТЭК. Аттестат соответствия говорит о том, что система соответствует требованиям по защите информации. А когда любой может попасть в консоль коммутатора данной ГИС, получается что или подрядчик схалтурил (а это может быть кого надо подрядчик), или это местный админ внес изменения в конфигурацию устройства, а департамент ИБ ни сном, ни духом. В любом случае с кого-то должен быть спрос, но разбирательства никому не нужны. Поэтому идеальное решение - это исправить по-быстрому, а потом сделать вид, что ничего такого не было.
Аттестация как то защищает от втыкания в сеть нового оборудования?
Не могу утверждать на счёт конкретного случая, но когда что-то аттестуется, менять конфигурацию, в том числе добавлять оборудование уде нельзя, если это не оговорено отдельно, что, например порт и предназначен для установки нового не аттестованного оборудования.
Товарищ выше ответил совершенно верно. Аттестат соответствия выдается на конкретную конфигурацию и состав технических средств. В технический паспорт записывается все вплоть до серийных номеров устройств. Внесение любых изменений в состав или конфигурацию должны быть согласованы с организацией-лицензиатом ФСТЭК, выдавшей аттестат соответствия.
В случае внесения изменений без согласования аттестат аннулируется.
Коммутаторы настраивают админы. Видимо, временно открыл, потом закрыл.
И никто бы этого даже не заметил - если бы не любопытный некто, пытавшийся взломать Государственную Систему!
Так что тут дело такое, на предмет качания прав, можно еще и крайним оказаться.
В багбаунти это легально. Вам буквально платят за то, что вы находите уязвимости.
Это в нормальном бигбаунти легально. А за обещания госки этого государства я и пятака бы не дал. Надеюсь, "внешний IP", который вы им предоставили - это не ваш домашний айпишник?
А могли бы просто посадить
Ещё не факт, что не посадят. Тут как раз человек против себя все материалы будущего дела публично выложил.
Здесь вообще-то речь про официальную программу bug bounty от Минцифры, о которой, у слову, я тоже не знал. Суть в том, что если бы автор статьи подключился к военному серверу, не подчиняющейся Минцифры, а потом бы слил информацию в сеть, не уведомив владельца данного железа, то это очевидно было бы уголовкой. А за честно выявленный баг и подробное объяснение его работы вполне могли бы хоть сколько-то тысяч заплатить, хотя бы из уважения и для повышения лояльности. Но не сажать!..
Что общего у тюрьмы и капс лока?
Вот же ж обидно! Ну можно было бы хотя бы в личке потом поблагодарить кому-то из разрабов. Но нет.
В такие моменты хочется напакостить, честно говоря, чтобы потом неповадно было.
Обычная история для админа, настройка какого то коммутатора удаленно. Возможно он даже не куда не был подключен кроме сети Интернет. О чем пост вообще не ясно.
Уголовное дело не открыли и то спасибо. А то ведь недавно одного посадили, любопытного.
"Дырка от бублика" это в данном случае довольно щедрое предложение. Не ворвались маски-шоу утром домой - уже и на том спасибо.
Шикарная история. Впрочем, с вашим опытом странно удивляться тому, что с баг баунти у нас большие проблемы. Несмотря на все движения профильных ведомств все это на грани закона.
Я никому ничего не хочу советовать, но если бы я сам нашел открытый телнет в ГИСе, я б все материалы в нкцки бы отправил. Ну из соображений хотя бы личной безопасности.
То что циска висела не на стандартном 22 порту ssh уже моё почтение сетевикам)).
Это telnet для проброса в консоль:
https://habr.com/ru/articles/974184/comments/#comment_29218296
Есть лайфак на подобные случаи: нотариально заверенные скриншоты репорт в ФСТЭК.
А могли и посадить
Уголовное дело не завели уже хорошо.
На самом деле так поступают практически все госконторы, да и не только они. На хабре полно таких статей. Так что я нисколько не удивился вашей ситуации. Действительно, ещё скажите спасибо, что статью на вас не повесили.
В итоге этим баг баунти будут заниматься наши западные коллеги, им точно профита больше будет...
Много комментов в духе "а могли бы посадить", "скажи спасибо, что не посадили" и т.д. Ну камон, почему меня должны сажать за это? Багбаунти - это когда заказчик сам просит найти у него уязвимости в обмен на денежное вознаграждение.
Договора нет никакого, ни с кем.
Л -логика.
Что именно вас смущает?
А вас в этой конструкции ничего не смущает?
Вы можете яснее изъясняться? Если нет договора, то за участие в багбаунти надо сажать людей в тюрьму или что? Что сказать то хотели? Продолжайте мысль.
Ну давайте яснее. Если нет договора (или акцептованой публичной оферты), то в правовом поле нет ни заказчика, ни просьбы, ни обещания вознаграждения. Равно как нет и такого понятия, как "багбаунти".
И в случае претензий к вам со стороны правохоронительных органов ваши рассказы про "заказчик сам попросил" никто слушать не станет, причем на абсолютно законных основаниях. Хотя, могут и послушать это чистосердечное признание о существовании неустановленных лиц в составе преступной группы, которые за вознаграждение просили сообщника совершить противоправные действия в сети Интернет.
Какой-то зашквар помогать таким организациям как минцифры
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Bug Bounty Минцифры: как найти критическую уязвимость и получить дырку от бублика в награду