​​​​Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо неё файл с посланием. Масштабы трагедии огромные, отваливаются сегменты или даже целые провайдеры Поэтому, если у вас только что выключился, либо в ближайшее время выключится интернет, с большой вероятностью, это произошло по этой причине. Устройства Cisco, которые уязвимы к этой атаке: Catalyst 4500 Supervisor Engines Catalyst 3850 Series Catalyst 3750 Series Catalyst 3650 Series Catalyst 3560 Series Catalyst 2960 Series Catalyst 2975 Series IE 2000 IE 3000 IE 3010 IE 4000 IE 4010 IE 5000 SM-ES2 SKUs SM-ES3 SKUs NME-16ES-1G-P SM-X-ES3 SKUs

А это норм практика а вообще? Ну свитчи менеджментом голым в Интернет выставлять? Или я что то упустил ы тенденциях ИБ?

​​​​Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо неё файл с посланием. Масштабы трагедии огромные, отваливаются сегменты или даже целые провайдеры Поэтому, если у вас только что выключился, либо в ближайшее время выключится интернет, с большой вероятностью, это произошло по этой причине. Устройства Cisco, которые уязвимы к этой атаке: Catalyst 4500 Supervisor Engines Catalyst 3850 Series Catalyst 3750 Series Catalyst 3650 Series Catalyst 3560 Series Catalyst 2960 Series Catalyst 2975 Series IE 2000 IE 3000 IE 3010 IE 4000 IE 4010 IE 5000 SM-ES2 SKUs SM-ES3 SKUs NME-16ES-1G-P SM-X-ES3 SKUs

свежую?

А это норм практика а вообще? Ну свитчи менеджментом голым в Интернет выставлять? Или я что то упустил ы тенденциях ИБ?

и так сойдет.жпг

А это норм практика а вообще? Ну свитчи менеджментом голым в Интернет выставлять? Или я что то упустил ы тенденциях ИБ?

конечно норма)

Лан. Пасиб. Пошел выставлять

аклы на доступ только с менеджерских адресов? да кому ты нужен

никто не будет тебя ломать, ты чо

это неудобно

https://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html это вообще параноики писали

Так многие ограничиваются acl на line vty.

Так многие ограничиваются acl на line vty.

Ну этого и хватит) для этой штуки

да ладно

Не уверен, что хватит

это ж не через vty идет

Проверять лень)

Там же вроде надо быть в ожидании ввода пароля? Или я не внимательно видео смотрел

я не знаю, что за видео

но дыры в vstack известны уже очень давно

странно, что в прошлые разы никто не догадался бота написать

​​​​Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco. Бот заходит на устройство и удаляет конфигурацию, записывая вместо неё файл с посланием. Масштабы трагедии огромные, отваливаются сегменты или даже целые провайдеры Поэтому, если у вас только что выключился, либо в ближайшее время выключится интернет, с большой вероятностью, это произошло по этой причине. Устройства Cisco, которые уязвимы к этой атаке: Catalyst 4500 Supervisor Engines Catalyst 3850 Series Catalyst 3750 Series Catalyst 3650 Series Catalyst 3560 Series Catalyst 2960 Series Catalyst 2975 Series IE 2000 IE 3000 IE 3010 IE 4000 IE 4010 IE 5000 SM-ES2 SKUs SM-ES3 SKUs NME-16ES-1G-P SM-X-ES3 SKUs

у соседней организации ЦОД отвалился из-за этого=))))

Ну этого и хватит) для этой штуки

не хватит. проверял

да и сама циска пишет что не хватит

дак и не может хватить, там же нет терминальной линии

не хватит. проверял

Да, я тока что пересмотрел видео, там vty не учавствует

это совсем другой механизм

паршиво то что на старых иосах нет команды no stack, помогает только ацл, который надо на все ip интерфейсы присобачить

или апгрейдится

а вот no vstack basic где-то проскакивало, не помогает?

Нужно срочно выставить какую-нибудь суску в тырнет. Такая туса мимо проходит

а вот no vstack basic где-то проскакивало, не помогает?

no stack прокатывает

Так что, полный пиздец? Интернета не будет?

но эта команда не везде есть

эксплоцт для тестирования

https://github.com/Sab0tag3d/SIET

Так что, полный пиздец? Интернета не будет?

У вас тырнет на старых свищах?

Так что, полный пиздец? Интернета не будет?

зачем вам интернет, в нем только террористы сидят

Жена ноет, даже сексом не отвлечь

и онлайн-казино с наркошопами

пусть простоквашино смотрит

или киселева

Эх вовремя не последовали рекомендациям

А теперь давайте немного разберёмся, что же на самом деле происходит. Итак, с год назад один ловкий парень заметил, что ежели собрать хитрый пакет и заслать его на порт 4786, то в коде Smart Install Client случается переполнение буфера, отчего целая серия девайсов под управлением Cisco IOS и Cisco IOS XE сдаётся без боя, отдаваясь любому желающему целиком и полностью. Как заведено у ловких парней, он поделился данным наблюдением с не менее ловкими парнями на не самом безызвестном мероприятии. Коллеги по цеху оценили и даже выдали приз, и дальше начинается интересное. По условия мероприятия, общаться с вендором забота (и право) исключительно организаторов смотра юных талантов. Свято блюдя это право, они рассказали всю правду Cisco через каких-то жалких 4 месяца. Видимо никак не могли презентацию покрасивей нарисовать. Ответственные товарищи в Cisco призадумались и очень попросили не публиковать деталей до 28 марта сего года. И вот вся информация опубликована, и со всех сторон пошли репорты, что похоже следы использования этой прелести стали находить у себя и провайдеры всех мастей, и просто владельцы интересных инфраструктур. Беда в том, что порт 4786 открыт по умолчанию и мало кто его закрывает специально. По первым прикидкам в сети около 8,5 миллионов устройств с торчащим 4786 наружу, из которых 250 тысяч имеют подтверждённую уязвимость. Хочешь проверить насколько ты можешь спать спокойно? Забрось в сеть нечто вроде: nmap -p T:4786 192.168.1.0/24 Сканирование удел лентяев? Тогда спроси у железа: switch>show vstack config Role: Client Oper Mode: Enabled или Role: Client (SmartInstall enabled) Ну а если хочешь сразу и наверняка, то скажи просто заклинание no vstack или чтобы наверняка, руби с плеча ip access-list extended SMI_HARDENING_LIST permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786 deny tcp any any eq 4786 permit ip any any` https://www.youtube.com/watch?v=CE7KNK6UJuk

словили ток что

Что за компания то?

щас пачка 3750 с пустым конфигом оказалась

смотрю, я тут не один

Оно их ребутит или просто стартап затирает?

или киселева

Телевизора нет, упущение…

стартап трет

Оно дает доступ, а там делай че хошь

Бонбу закладывает значит

Телевизора нет, упущение…

ну вот как раз есть время съездить в магазин за ним

мвидео круглосуточные есть

В отличное время живём, дыры эксплуатируются на следующий день после публикации. В планетарных масштабах

Эдак дятел все-таки разрушит цивилизацию

В отличное время живём, дыры эксплуатируются на следующий день после публикации. В планетарных масштабах

Я если честно думал вчера еще начнется) может и началось.

Чо там акции циски?)

Оно там больше половины уже end of live, может акциям и пофиг)

Твиттер на старых свищах?

Я если честно думал вчера еще начнется) может и началось.

Да пипец полный у нас вся сеть легла

Да пипец полный у нас вся сеть легла

Не только у вас )))

просто для полноты картины положу немножко старых проблем смарт инсталла

https://habrahabr.ru/post/324156/

Не только у вас )))

У нас ещё раньше легла, но я не мог понять почему, думали массовый глюк каталистов

https://habrahabr.ru/post/324156/

Познавательно

Note: The no vstack command does not persist across reload due to Cisco defect CSCvd99197 in the following releases of Cisco IOS and IOS XE: Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2 Cisco Catalyst 6500 Series Switches: 15.1(2)SY11 15.2(1)SY5 15.2(2)SY3 Cisco Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2a Cisco ME 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11 If you are running any of these releases, Cisco recommends that you upgrade or downgrade to a nonaffected release or put automation in place to reconfigure the no vstack command after every reload of the device.

на случай, если кто-то выключил no vstack и думает, что он самый хитрожопый

нет, циски хитрожопее, они его обратно включают после ребута

Надо правила писать

ну тут говорят, что неудобно правила писать

и вообще это путь трусов

Добрый вечер господа. У кого есть свежая версия gns3, а то зарегился, пришел ответ что через пару дней пришлют ссылку и вот жду уже 10 дней.

> через пару дней?!

Aclки

«Фонтанка» была вне доступа из-за проблемы, которую используют хакеры по всему миру Проблемы с доступом к сайту «Фонтанка.ру» были связаны с уязвимостью оборудования, которую хакеры используют по всему миру. Производитель уже предупредил провайдеров. Как рассказали нам в компании-провайдере Imaqlic, в программном обеспечении компании Cisco обнаружилась уязвимость, которая поставила под удар коммутаторы ее производства с поддержкой технологии SMI (она используется для автоматизации начальной настройки и загрузки прошивки). Сам производитель предупредил об этом накануне, сообщив, что уязвимость используется хакерами по всему миру, и опубликовав подробную инструкцию для решения проблемы. Первые атаки с использованием этой уязвимости были зафиксированы еще в 2017 году, в феврале 2018 их число увеличилось. Производитель выпустил несколько патчей (информация, предназначенная для автоматизированного внесения определённых изменений в компьютерные файлы), однак, как сказали в Imaqlic, предназначены они были уже для нового оборудования. Всего в Cisco насчитали 168 тысяч потенциально уязвимых коммутаторов с поддержкой SMI, проблема затронула множесство сайтов. В своем предупреждении Cisco связывает часть атак с с российскими хакерскими группами Dragonfly, Crouching Yeti и Energetic Bear. Ранее они упоминались в докладе подразделения Национального управления кибербезопасности Министерства внутренней безопасности США как связанные с российским правительством и осуществляющие атаки на американские инфраструктурные объекты.

Привет Imaqlic)))

да не, ну бросьте. теперь что, на всех железках аклы прописывать?

Фонтанка же у бонча была

> через пару дней?!

Two business days было написано

да не, ну бросьте. теперь что, на всех железках аклы прописывать?

Пока не починят, а как иначе?

да ну нее

давайте просто подорожник приложим

Бэкапы надо делать ?

бекапы жопы, пока она еще не похожа на британский флаг

Иннокентий, вы сегодня красноречивы

бекапы жопы, пока она еще не похожа на британский флаг

В нашем случае американский