Исследователи из компании RedTeam Pentesting обнаружили (https://twitter.com/RedTeamPT/status/1110843396657238016), что компания Cisco лишь создала видимость устранения уязвимостей (CVE-2019-1653) в выпущенном в январе обновлении прошивки к маршрутизаторам Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости.
После установки обновления прошивки с "устранением (https://tools.cisco.com/security/center/content/CiscoSecurit...)" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми. Для атаки достаточно сменить значение User-Agent при помощи ключа "-A", например:
curl -s -k -A kurl -X POST --data 'submitbkconfig=0' https://192.168.1.1/cgi-bin/config.expНеисправленными остаются две уязвимости, позволяющие без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства, включая хэши паролей доступа, и ключи к VPN и IPsec. При запросе через export_debug_msg.exp конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%').
URL: https://news.ycombinator.com/item?id=19507225
Новость: https://www.opennet.dev/opennews/art.shtml?num=50404
Поражает наивность реакции Cisco:"The initial fix for this vulnerability was found to be incomplete. Cisco is currently working on a complete fix."
https://tools.cisco.com/security/center/content/CiscoSecurit...Предполагаю, что под "complete fix" они понимают блокировку User-Agent "kurl", используемый в новом примере атаки.
Ещё доставляет реклама этих рутеров на сайте Cisco:"Keep your employees, your business, and yourself productive and
effective. The Cisco RV320 Dual Gigabit WAN VPN Router is an ideal
choice for any small office or small business looking for performance,
security, and reliability in its network."https://www.cisco.com/c/en/us/products/routers/rv320-dual-gi...
"productive and effective" такой productive and effective.
> такой productive and effective.Ну да, именно. Вы просто не понимаете, что эффективное производство стремится снижать затраты на производство продукта, у каждого менеджера есть KPI согласно которому он должен поднять эффективность бизнеса на Х процентов. А основные издержки приходятся на что? Деталь из устройства не выкинешь, зато можно снизить издержки на разработчиков и поддержку продукта - выгнать пару наиболее оплачиваемых технарей-дармоедов на мороз, и эффективность бизнеса тут же возрастает на размер их оплаты с налогами.
И с каждой последующей итерацией высе^W продукт штурмует очередное днище. Но дефективным менеджерам пофиг, ло^W клиент же не мамонт.
>Деталь из устройства не выкинешьВнезапно, совершенно спокойно выкидываются снабберные цепи, синфазные дроссели, "лишние" стабилизаторы, желательно с парой "наиболее оплачиваемых" инженеров-"дармоедов". Не важно, что недостаточная стабилизация питания и отсутствие фильтрации помех вызывают целый спектр спецэффектов типа повышенного тепловыделения, фризов и зависаний, зато быстрее за новым продуктом прибегут.
Это не эффективное производство, а копроэкономика, если называть вещи своими именами, потому
> такой productive and effective.
> такой reductive and defective.пофиксил, ибо слишком тонкая ирония.
Они так до белого списка юзерагентов додумаются в итоге.
И чем это им поможет ??
Ничем, просто логическое развитие их подхода.
Уже и цискам нельзя доверять? Кошмар, куды бечь?
кинетик/микротик
В MikroTik с безопасностью не лучше.https://www.opennet.dev/opennews/art.shtml?num=49226
https://www.opennet.dev/opennews/art.shtml?num=49408
"Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации."
Просто вырубил winbox в IP->services, и всё остальное кроме www.
исправлено же
Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки.
ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то моя древняя ржавая asa и парочка ее краденых виртуальных сестренок должны были уже не то что лечь, а взорваться и улететь в форточку. Однако ж, работают, а мокротыки коллеги сделавшие себе на них защищенную сеть - перезагружают просто вот по три раза на дню, а чо, затодешево! (не так чтоб и особо)
Наверно они при покупке на смотрели на схемы железок, которые они покупать собираются. На сайте Микротика все выложено.
Там нарисовано как трафик ходит и где затыки могут быть. Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec и гонять большой трафик в режиме роутера. Соответственно нормально выбранная железка и у Микротика, стоит не мало. Но ведь кто ж читает... Кроилово, оно всегда переходит в попадалово. Да.Ну а ASA - это по сути комп. Простой как три копейки. При высокой нагрузке лагает, как и все. При зоопарке VPN-клиентов поглючивает и подкашливает. Так что никаких чудес.
Был у меня на работе старый компа с OpenVPN. Выкинули комп когда CA-сертификат протух (был на 10 лет сделан при инсталяции). А пока не протух CA, работал себе вполне и всем очень нравился.
> Например на надо покупать одноядерный микротик, если надо шифровать IP-Secстесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?
> Ну а ASA - это по сути комп. Простой как три копейки.
угу - в 5510 - _селерон_ (p3, без всяких там aes'ов и sssse8910). При этом, как ни удивительно, с ipsec на крупный branch-office c десятками туннелей к каким-нибудь удаленным складам у нее все в порядке (с поправками на неумение элементарных вещей) - шифрует отдельный чип, тормозит тоже отдельно от всего.
Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.
> При высокой нагрузке лагает, как и все.
какие такие все? Вот любимый некротик при невысокой виснет, перезагрузка ресетом. Зато дешево.
У stonesoft за шесть вагонов денег - при нагрузке, не превышающей штатной - разваливается кластер, активная нода виснет намертво, вторая умудряется этого не заметить и не переключиться, при банальном апдейте банальных правил - начинает все глючить и виснуть до отката на старые конфиги. Техподдержка разводит лапками - "шеф, я вас вижу! - Аналогично!"
А у тебя - всего лишь лагает ,и то потому что вышел за допустимые параметры.
(ну да, есть еще checkpoint и paloalto, но там и деньги несопоставимые с асой без доп-примочек, и смысл этих коробок немного в другом, и своих специальных глюков и проблем на ровном месте у них навалом. А в дверку тихонько скребется очень-плохая-дорога, со словами "а мы тут, кстати, сертификат ФСТЭК прикупили")
Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.
> Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.судя по тому что это для вас "поток сознания" - вы даже не теоретик, а так - "один раз видел микротик, но настраивал его какой-то инженер".
> Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.Тут не удержусь от ехидного комментария. Глядя на злоключения коллег из сетевого отдела — *не* работает. В 9 прошивках из 10 есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты.
Не знаю как там у можжевеловых, но Cisco+ASA = вот это вот.
> Тут не удержусь от ехидного комментария. Глядя на злоключения коллег
> из сетевого отдела — *не* работает. В 9 прошивках из 10признаюсь честно, именно ipsec site2site failover я делал на 7-8.0 (то есть до прихода щастья всем в виде поддержки многотредовости в 8.2) - работало, переключалось c sub-second delay (ибо voip), в панику за год не свалилось.
Учитывая что именно это место гарантированно пострадало от мультипроцессорности/тредов - готов поверить, что в 9+ оно так.
> есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику".
> И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты.вообще-то с циской принято не фиксировать полурабочее скотчем, а открывать tac case (раз они где-то берут свежие версии, значит, и доступ к tac у них есть). Вот если tac уже послал - нужны подробности, как дошли до жизни такой.
Поскольку вроде бы как раз основной функционал, и непонятно, зачем дальше такая коробка нужна.мы ssg, видимо, выпилим за такое поведение, ибо ненужно.
>стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?есть модели с специальным шифроустрйоством и есть без. Какие имеют его - написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что там на сайте написано...
> есть модели с специальным шифроустрйоством и есть без. Какие имеют его -
> написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что
> там на сайте написано..."вы же уже купили", что теперь толку от того чтения :-(
Надо не стесняться. Надо сходить на сайт, выбрать пункт "IPsec hardware acceleration" и посмотреть на то, что выдалось. Там же можно поизучать схемы каждого девайса, чтобы понять есть тут "переподписка" или нет.failover cluster достаточно легко собирается на тех же Линуксах и если у вас это не получилось однажды, вовсе не значит, что этого нет в природе. Кому надо тот делает. Инструментарий для этого есть.
Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. Всех дел не переделаешь.
Удачи.
дружище, я на другие сайты хожу.
с лошадками, например...
В то время как цисячьи и э...скажем, чекпоинтовские продаваны борются за звание чемпионов соцсоревнования по впариванию нашей конторе готовых решений за много денег.
Если в кои-то веки мне надо выбрать что-то для себя любимого, это точно не будет некротик, и тем более я не буду изучать "схемы", я что, проектировщик этого хлама, что-ли - нахрена они мне?
Есть примерное понимание, какие в сети ходят объемы траффика, у вендора есть такое же примерное (поэтому точно низачем не надо) представление, какого и сколько вон та коробка может прожевать. А если вместо этого мне подсовывают схемы и заставляют вручную проверять наличие какого-там hardware - ну его нафиг. И тем более сетевые устройства не должны виснуть без видимых причин, это уже вообще за рамками допустимого.> failover cluster достаточно легко собирается на тех же Линуксах
ну же, ну же - я затаив дыхание жду историю успеха?! Напоминаю - sub-second switching, ipsec (я, честно говоря, не знаю как вы вообще в линуксе собрались его фейловерить - нет, трогать другой конец низзя, вам никто не обещал что он вообще ваш собственный и что вам там рулить дадут - то есть endpoint у вас один и его адрес фиксирован - мы ведь об ipsec failover, а не как накостылить обходной путь при его отсутствии), stateful nat, в том числе dual (потому что, опять же, с той стороны не все железо ваше и не все сети грамотно спланированы) static routing, для простоты.
В асе все вот просто - он одной командой включается, и про проблему забываем навсегда. Конфиги она посинхронизирует сама, за состоянием интерфейсов следит сама - вообще неинтересно (в отличие от настройки самого ipsec, где грабель целое поле, с невиданным урожаем). И так оно - с 2005го года, еще в pix'ах было.ну вот коллега заявляет что в 2019м доломали где-то, но что-то темнит о деталях - например, заводился ли тикет и что на него отвечали.
> Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо.
дык я и отдыхаю, не схемы же некротиков мне для отдыха разглядывать.
я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел его вживую хоть раз? и сколько раз он у тебя вис?
p.s. имею в доступности с два десятка микротиков: за почти два года ни единого зависания (нагрузка у них постоянная от 10 до 75%).
> я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел
> его вживую хоть раз?стыдно сказать, нет ;-)
Я ни разу не был на площадках, где оно работает.> и сколько раз он у тебя вис?
не считал, но это у той конторы обыденнейшая ситуация "опять повисло, перезагрузите" - раз-другой за неделю мелькало в чятике. Коробок с десяток, какой-либо зависимости от нагрузки/расположения/настроек я не заметил. Да и настроек там кот наплакал, внешний траффик через те коробки не ходил, только туннели для внутренних нужд.
> p.s. имею в доступности с два десятка микротиков: за почти два года
> ни единого зависания (нагрузка у них постоянная от 10 до 75%).дружище, нагрузку в сети в bps/pps меряют ;-)
хотя вообще-то если у тебя 75 это cpu load - ничего не хочу больше знать о тех некротиках.
Netter
ну вообще-то цискам, которые на самом деле линксиси, а это именно оно, доверять никогда было нельзя.
Там вся команда индусская-преиндусская, во главе охренеть-раджа, даром что ни ухом, ни рылом в предмете не разбирается...но сейчас вполне может статься, что такой становится и вся циска целиком - https://finance.yahoo.com/news/former-cisco-employee-arreste...
- ну ведь нельзя же джентльмену с прекрасным именем Бхикка не верить на слово? Вот ему карта-то и поперла...бечь - понятно куда, в оченьплохуюдорогу, там ни одного индуса нет.
Там ещё хуже - там ваще КИТАЙЦЫ. А этому племени у меня доверия нет и вряд ли появится...
дык, потому индусов и нет ;-)
они их палочками едят.доверять им может и нельзя (правда, товарищ майор велели им как раз - доверять, циске - не доверять! это для защищенных полувоенных применений, на минуточку), но вот к их железу у меня вопросы если и были, то такие, из серии "денег никому не заплатить".
Оно такое, странненькое, но именно странненькое, а не уродливое, как у некротиков. Иногда даже радуют красивыми ходами, которых у той же циски либо нет, либо криво, либо появилось на десять лет позже (тот же display this - у цисок есть аналог только в XR и неудобный страшно. Или онлайн апдейты в дешевых, копеечных s2300 - причем работающие, ни разу не повисло)
>Уже и цискам нельзя доверять?А можно было? Имеется ввиду безопасность, а не навороченность железа.
А с каких пор можно было доверять проприетарщине?
Сейчас с нами поделятся историей успеха что ставили, что ставят и что будут ставить в цодах.
Смотря на каком континенте спрашивать будете. Не специалист, но могу спросить того же gremlin@, только тогда приготовьтесь к оглумлению.
> Уже и цискам нельзя доверять?А когда было можно? (я тех времён, когда они под стол пешком ходили, не застал по специальности)
Молодцы. Умеют устранять уязвимости.
И заметье, на подготовку такого патча им потребовалось полгода:2018-09-19 Original vulnerability identified
2019-01-22 Firmware 1.4.2.20 released by vendor
Ну, если отбросить арифметику, для для гротеска можно сказать что они шесть лет готовили этот недопатч (по факту - три месяца).
> по факту - три месяцаЧетыре.
И главное - быстро. 10 баллов!
Абсолютно феерично. Мог ожидать такого от Microsoft, но чтобы от Cisco, которая кичится своим трепетным отношением к безопасности...
...And sometimes Cisco explains its behavior with a simple phrase: "Monopoly means that we just can afford it"
Нет, анонимы давно ожидают такого ... и регулярно получают https://overclockers.ru/blog/Docent2006/show/20835/v_routera...
Интересные ссылки, благодарю. По отдельности всё не так страшно, но когда соберёшь всё рядом... /(o_o)\
> Cisco, ... к безопасностивзаимоисключающие понятия
Да какое еще отношение к безопасности? Это по старой памяти 15-летней давности только если. Сейчас там индус на индусе. Любая китайская поделка будет примерно на том же уровне.
>Это по старой памяти 15-летней давности только если.Слайды Сноудена припомните, циска изначально такой и была
Тогда зачем платить больше. Купи длинков пучок и пере загружай их весь день.
Вот, кстати, с древним dlink 320 с dd-wrt никаких проблем ;)
Это же мыльница какаято - купили кавота, налепили наклейку - cisco епт:)
да, но выкинуть на мороз индуса и нанять нормального хотя бы менеджера среднего звена - вполне можно было и после покупки. Но зачем - пипл же и так схавает, других-то нет (точнее, других-то в избытке, но они еще хуже).
> нормального менеджера среднего звенане бывает.
возьмите чубайса.
Ага - мыльница. Цены-то у него конские.
https://www.amazon.com/gp/offer-listing/B00DGH08OC/если бы это не была линксися перекрашенная - не вижу ничего конского, дешевенькая soho-железка так и должна стоить.
вот тебе примерно такой же длинк еще дороже и хуже:
https://www.amazon.com/gp/offer-listing/B004Z9XRQG/а вот, для сравнения, сколько стоит настоящая циска с весьма приблизительно похожим функционалом (свитч еще за столько же купишь): https://www.ebay.com/itm/Brand-New-CISCO1921-K9-CISCO-1900-I... (хотя какой лох будет это на ебее покупать - не знаю)
ну или так, только там гигабит ненастоящий, а для soho нафиг не надо, это для branch office кого-то очень большого предназначено:
https://www.ebay.com/itm/Cisco-CISCO892-K9-10-100-Mbps-GigE-...
их, разумеется, тоже никто на ебее покупать не будет.
Сдаеца мне именно так и сделали - индуса ваявшего прошивку на мороз, вместо него эффективный менеджмент справица:)
Я, конечно, понимаю, что такое "латание" уязвимостей это скорее попытка блокировать PoC-скрипты кулхацкеров... Но блокирование по user-agent это верх "тяп-ляп и в продакшн", даже слов нет.
не надо так "тяп-ляп" опускать, костыли, пусть и кривые, будут есть и будут, а это откровенное "пох..й, лохи, и так сожрут"
Всегда так делаю 👍
Может, проще туда как-нибудь OpenWrt прошить?
Проще приобрести мощный одноплатник под OpenWRT за треть цены сабжа. А то, что вы предлагаете, скорее из области трансректальной гландоэктомии.
Конечно же это всё произошло случайно.
Да как обычно небось: наняли джуна на испытательный, код-ревью не делали... Ну вот и результат. )
джуны такое себе не позволяют - им не нужно увольнение с первой в жизни должности и волчий билет в итоге, они делают криво, но стараются.это senior сделал, уверенный что ему за это ничего не будет - потому что в Бангалоре, где он живет, все равно особо далеко падать некуда - ну уволят, не станет денег снимать квартиру - пойдет жить на улицу. Потом может быть с голоду помрет - так переродится же ж.
Таск закрыт в установленный срок. Ок, что у нас там следующее? "запилить новую фичу для IoT"? Окей, гугль, как это делают-то и что такое IoT, заодно?
https://habr.com/ru/post/444998/ а вы тут от мыльницы какой то защищенности хотите:)
> https://habr.com/ru/post/444998/ а вы тут от мыльницы какой то защищенности хотите:)Это они баян с Ars Technica без ссылки на источник перевели под видом нового исследования.
https://arstechnica.com/information-technology/2019/03/criti.../На opennet про этом предупреждали несколько лет назад :-)
https://www.opennet.dev/opennews/art.shtml?num=27447
https://www.opennet.dev/opennews/art.shtml?num=32863
https://www.opennet.dev/opennews/art.shtml?num=48391
А как там у Джуниперов дела? Они подобного уровня добро вообще делают?
Давно на опеннете им на голову ушатов помоев не было что-то :D
> А как там у Джуниперов дела? Они подобного уровня добро вообще делают?нет, там все заподорого и не через розничные магазины - мелкоохфесам не светит.
ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый srx, и он всем лучше этой линксиси, но это будет 100% неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь - в смысле, вообще нет никакого легального пути их получения.
> ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый
> srx, и он всем лучше этой линксиси, но это будет 100%
> неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь -
> в смысле, вообще нет никакого легального пути их получения.Кто там ещё остался... AlliedTelesyn(s)? Давно что-то вообще про них не слышал, да и есть ли у них подобного уровня девайсы..?
https://www.alliedtelesis.com/products/security-appliances/u...нуууу хрен его знает - я очень давно их не видел, но они были такие...японские... В смысле - японумать упоминали регулярно.
> после установки обновления прошивки 1.4.2.20 с заявленным "устранением" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми
> обновление прошивки с корректным исправлением пока не выпущено и ожидается в середине апреля
> компания Cisco была уведомлена о проблеме в начале февраля, а информация об изначальной уязвимости была направлена ещё в сентябре прошлого года
> для атаки достаточно сменить значение User-AgentЦиска и безопасность - это слова синонимы и об этом знают все.
Ха-ха! https://i.imgur.com/YOpC9e6.jpg
- без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства
- конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%')
- выполнить любую команду в системном окружении устройства через манипуляции с параметрами в форме генерации сертификатов (например, вместо имени можно указать "'a\$(ping -c 4 192.168.1.2)'b")Нельзя таки подпускать школьников и хипстеров к разработке системного ПО. А школьников-хипстеров - тем более.
На самом деле у рассматриваемого есть прекрасная непробиваемая защита. А именно - 2 раза пытались внедрить оборудование данного бренда. И оба раза оно не проработало более 1 недели ввиду перегорания блока питания. Т.о. до уязвимостей сабжа дело не дошло и сеть была надежно защищена оборудованием другого бренда.
ну да, что у тебя в сети вместо 220 гуляет 380, и банальных фильтров купить даже уже после сгоревшего устройства вы пожабились - это циска ж виновата.И, разумеется, когда у тебя горит оборудование, которое у других работает годами, надо искать "другого бренда",а не вые..ть электриков.
P.S. блок питания какой-нибудь ASR9000 стоит около $2k. Лучше не думать, сколько стоит в ней остальное. Если два сгорит по милости электрика - что же, на то ему и даны целых две почки.