В сетевых устройствах Brocade, Motorola/Netopia и Ambit выявлена (https://community.rapid7.com/community/metasploit/blog/2014/...) критическая уязвимость, позволяющая удалённо получить параметры аутентификации, позволяющие подключиться к устройству или обслуживаемой им сети, через общедоступный вывод сервиса SNMP (community public). Для получения таких данных как логины пользователей, хэши паролей и ключи доступа к беспроводной сети, достаточно отправить SNMP-запрос при помощи штатных утилит, таких как snmpwalk или snmpget.
Проблемные устройства:- Балансировщик трафика Brocade ServerIron ADX 1016-2-PREM хранит логины и хэши паролей в публичных SNMP MIB-таблицах и выдаёт их при запросе OID 1.3.6.1.4.1.1991.1.1.2.9.2.1.1 и 1.3.6.1.4.1.1991.1.1.2.9.2.1.2. Сервис SNMP включен по умолчанию.
<center><img src="http://www.opennet.me/opennews/pics_base/0_1400348046.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>- DSL-модемы серии Motorola/Netopia 3347 выдают через публичный SNMP SSID-идентификатор беспроводной сети, ключи WEP и WPA PSK. В большинстве моделей SNMP включен по умолчанию на интерфейсе внутренней сети, но встречаются модели, на которых SNMP включен и на WAN-интерфейсе.
<center><img src="http://www.opennet.me/opennews/pics_base/0_1400348014.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>- Беспроводные маршрутизаторы Ambit серий U10C019 и Ubee DDW3611 выдают через публичный SNMP логины, хэши паролей, SSID-идентификатор беспроводной сети, ключи WEP и WPA PSK. По умолчанию сервис SNMP отключен.
<center><img src="http://www.opennet.me/opennews/pics_base/0_1400348032.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>При сканировании Сети было выявлено 229 тысяч доступных через интернет устройств Ambit и 224 тысячи устройств Netopia. При этом проблему усугубляет то, что уязвимости подвержены модели уже снятые с производства, поддержка которых прекращена и производитель навряд ли выпустит обновления прошивки (производитель был уведомлен о проблеме за три месяца до её публичного обнародования, но обновления так и не были выпущены). Пользователям вышеупомянутых моделей устройств рекомендуется убедиться в ограничении доступа к сервису SNMP.
<center><a href="https://community.rapid7.com/servlet/JiveServlet/showImage/3... src="http://www.opennet.me/opennews/pics_base/0_1400347139.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>URL: https://community.rapid7.com/community/metasploit/blog/2014/...
Новость: http://www.opennet.me/opennews/art.shtml?num=39798
Дара на дыре. И самое плохое что иногда альтернативы для обновления нет. Эти ошибки трудно назвать просто уязвимостью
Такая байда еще на DLink DWL 2100 AP была, подозреваю што на штатных прошивках полным полно дырок
> Такая байда еще на DLink DWL 2100 AP была, подозреваю што на
> штатных прошивках полным полно дырокПолно, но для тех кто их сделал это фича
> альтернативы для обновления нетвыкинь железку, разверни функционал на селероне
>> альтернативы для обновления нет
> выкинь железку, разверни функционал на селеронеСамый оптимальный способ, поскольку не ко всем подобным устройства оперативно выпускают обновления, не говоря уже о наличие вменяемых исходников, чтобы самому исправить.
> выкинь железку, разверни функционал на селеронеА потом удивись росту счетов за электричество на пару стольников в месяц и понюхай вонищи, когда в древнем хламе заклинит китайский вентиль в БП и все сгорит синим пламенем.
>А потом удивись росту счетов за электричество на пару стольников в месяцДа ладно, питдисят ватт потребляет максимум силирон, не будет никакого роста счетов!
>заклинит китайский вентиль в БП
Ты наверно удивишься, но в Brocade ServerIron таких китайских вентилей минимум шесть штук!
PWNAGE однако.
АНБ-шник прокололся. Его день рождения - 4-ое января 1991 года.
1 апреля же 1991-го
Гребанный стыд, зачем отдавать логин и пасс то по СНМП?
> Гребанный стыд, зачем отдавать логин и пасс то по СНМП?Иначе товарищ майор из АНБ очень уж недоволен тем что надо отлеплять зад от стула и лично топать к подозреваемым.
Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что надо его заменить на REST и желательно на NodeJS, получит печеньку.
Э-э-э.... Уверен, что назначение SNMP правильно понимаешь?
вы SNMP ни с чем не перепутали ? :)
альтернативы SNMP были и есть, но смысл ?
много ли вы видели устройств со ВСТРОЕННЫМ клиентом/сервером нагиос, заббикса или кактуса, к примеру ? :)
> Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что
> надо его заменить на REST и желательно на NodeJS, получит печеньку.SNMP пора заменить на NMP.
Это как Netscape просился популяризировать LDAP, вместо того, чтобы заниматься DAP.
X500 DAP им надо было заниматься?
Da.
Ну что ж вы им тогда не сказали-то?
Они авторов LDAP нанимали, крупных софтверных вендоров слушали, которые выстроились в очередь за LDAP-ом, а надо-то было X500 пилить.
А что толку кому-то говорить? Это было "не в тренде".
Начало 90-х было ознаменовано адаптацией стандартов CCITT для PDN, а во второй половине стало модно отрицание оффициоза и желание пилить что-то кривое, но своё. Таким образом мы сейчас имеем лайв-видеостриминг по HTTP и прочие извращения.
Отрицание официоза стало модным не просто так.
>мы сейчас имеем лайв-видеостриминг по HTTPНо таки имеем.
А вот телефонисты пытались продвигать такие "видеозвонки", помните? Что там с ними сталось?
Спасибо, я лучше пешком постою.Телефонизды так хорошо пытались, что оно и сейчас, где нужно качество, а не выпендрёж, неплохо на ISDN BRI работает.
Нужно как всегда - совокупность компромиссов в устраивающей пользователя конфигурации.
Включая цену и доступность.
Где-то и формально верифицированные программы работают, где-то и X.25. Но в большинстве случаев телефонистский канальный подход как-то не прижился.
> в устраивающей пользователя конфигурации.Пользователь в очень редких случаях представляет себе, что же ему действительно нужно.
Смотря что под этим знанием понимать.
Если попросить его написать ТЗ, то он, конечно, вряд ли с этим справится.
А если попросить выбрать из нескольких предложенных альтернатив, то напротив - справится прекрасно.
Если же до он про какую-то из альтернатив (например, ISDN BRI) ничего не знает - то для решения этой проблемы существуют реклама и маркетинг.
Ну вот пользователи и выбрали.Жуткие бронтозавры, порожденные ITU-T и несущие на себе тяжкие следы design by committee, а соответственно и оверинжиниринга, закономерно проиграли.
Правильно.
Xaвaйтe теперь HTTP лайв-стриминг, с минимально возможной задержкой в четыре секунды и непомерными требованиями к вычислительной мощности проца. Зато стильно, модно, молодёжно.
Именно четыре секунды? Почему не 5, 7, 100?>непомерными требованиями к вычислительной мощности проца
Любой телефон справляется
> Именно четыре секунды? Почему не 5, 7, 100?Цифра вычислена эмпирически. Не сомневаюсь, что под неё можно подвести необходимую теоретическую базу. HTTP-стриминг осуществляется путём запроса клиентом playlist-а у стриминг-сервера, в котором указаны URL-ы с сегментами видео для загрузки и воспроизведения. От количества сегментов и их длительности зависит задержка. Также задержка зависит от выбранного интервала ключевых фреймов. Сегмент плей-листа формируется по границе keyframe-а. Не надо объяснять, что keyframe-ы не могут следовать слишком часто.
Для классического live-видеостриминга используется CLNP, в то время как HTTP — это CONP, в результате чего ко всем вышеописанным задержкам добавляется задержка на установку соединения и квитирования на уровне транспортного протокола, плюс непрогнозируемые задержки на восстановление соединения при потере или порче фрейма.
> Любой телефон справляется
Аккумуляторы не справляются.
>задержка на установку соединения и квитирования на уровне транспортного протокола, плюс непрогнозируемые задержки на восстановление соединения при потере или порче фрейма.Это очень важно для видеоконференций советов директоров - ЦА классического стриминга с "решениями Cisco и Avaya" за миллионы долларов.
Это совершенно неважно для просмотра котиков и чатрулеток - ЦА нынешнего стриминга с бесплатно на любой кофеварке.
В виду того что ЦА второго стремительно растет, ЦА первого составляет маргинально пренебрежимые величины и будет только уменьшаться.>Аккумуляторы не справляются
Поэтому никто не играет на телефонах и планшетах. Хотя постойте.
Я уважаю вашу точку зрения, но больше доверяю мнению наших клиентов, которых задержка 0,5—1 с в RTMP ещё устраивает, а практические 5—10 с в HTTP live — нет.Поэтому, пока что, ЦА *вынуждена* потреблять то, что дают, при условии наличии на кофеварке RTMP или RTSP player-а.
> Xaвaйтe теперь HTTP лайв-стриминг, с минимально возможной задержкой в четыре секундыСам по себе поток данных по HTTP ничем не отличается от остальных протоколов. Грабли будут в основном на плохих каналах. Но там и у остальных будут грабли. Если посмотреть на то как дела с рекавери после потерь пакетов у протоколов которые это допускают, там такие жуткие рассыпоны картинки что еще вопрос что хуже.
> и непомерными требованиями к вычислительной мощности проца.
Нынче вычислительные емкости обгоняют рост емкостей сетей, поэтому лучше больше молотить процом чтобы поменьше качать, нежели наоборот.
> Нынче вычислительные емкости обгоняют рост емкостей сетейДля того, чтобы сравнить две величины нужно сначала убедиться, что они одинаковой размерности.
Приведите размерности следующих величин:
1) Вычислительная ёмкость.
2) Рост ёмкости сетей.
Не надо сравнивать величины, надо сравнивать их рост.
Для этого общая размерность давно придумана - проценты.
> Не надо сравнивать величиныА я утверждаю, что надо.
Ну приведите тогда какие-нибудь шокирующие цифры о текущей распространенности ISDN BRI.
> Ну приведите тогда какие-нибудь шокирующие цифры о текущей распространенности ISDN BRI.Давайте пока подождём, когда товарищ приведёт единицы измерения:
1) Вычислительная ёмкость.
2) Рост ёмкости сетей.:D
> не выпендрёж, неплохо на ISDN BRI работает.Только что-то видеозвонки мало кому сдались, а вот пакетные сети передачи данных явно зарулили circuit switched практически во всех областях. Потому что эффективнее.
> Первый кто скажет что проблема с устаревшем и прогнившем SNMP и что
> надо его заменить на REST и желательно на NodeJS, получит печеньку.Конечно, у nodeJS с безопасностью все намного лучше.
Уже пошел скачивать nodeJS для cisco IOS.
Вы бы скорее доверяли индийской имплементации ASN1 от Cisco чем индийской же имплементации JSON от Cisco же?
Один фиг - надо б-дей менять, а не кровати переставлять...
Но китайская имплементация будет еще хуже.
SNMP - security not my prerogative )
> SNMP - security not my prerogative )v3 нет?
>> SNMP - security not my prerogative )
> v3 нет?а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не?
или хотябы запретить public комьюнити показывать?
>>> SNMP - security not my prerogative )
>> v3 нет?
> а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не?
> или хотябы запретить public комьюнити показывать?Не говоря уже о том, что управляющий трафик должен бегать отдельно+ ACL+ не паблик коммьюнити. А если уже совсем шифрованное шифрование нужно, тогда v3. Опять же не ясно зачем логин и пасс через SNMP отдавать, но имхо косяк юзера в любом случае.
> но имхо косяк юзера в любом случае.вот и я о том же.
дело не в дырах, они всегда были, есть и будут - дело в несоблюдении элементарных правил ...
> а шо энти жалезки фильтровать не умеют? snmp фаером закрыть не?Ну ты тоже когда подходишь к дому - не забудь одеть каску и включить миноискатель. Вдруг сотрудники этих шараг займутся укладкой асфальта или ремонтом крыш?!
В общем, получается, что это железки, которые толком никто не настраивал - с public community. Конечно производители могли бы отключать snmp по умолчанию.
Доступ по snmp к балансировщику? Балансировщик купили, файрвол не купили? Сомнительно.
> Балансировщик купили, файрвол не купили?чем серьёзней эмбед тем больше д-ма там наличествует от всех причастных.
> чем серьёзней эмбед тем больше д-ма там наличествует от всех причастных.Как-то раз мне высказали достаточно правдоподобный тезис: чем больше вы отвалите бабла, тем с большим удовольствием на вас положат болт :).
> - Балансировщик трафика Brocade ServerIron ADX 1016-2-PREM хранит логины и
> хэши паролей в публичных SNMP MIB-таблицах и выдаёт их при запросе
> OID 1.3.6.1.4.1.1991.1.1.2.9.2.1.1 и 1.3.6.1.4.1.1991.1.1.2.9.2.1.2.
> Сервис SNMP включен по умолчанию.Теперь мне понятны хакерские фразы из всяких "ghost in the shell".
- Мне нужно 5 минут, чтобы взломать их фаерволл... черт, меня засекли!
- В следующий раз не жалей времени на грамотный взлом.
Ога, ещё +5 минут на чистку логов :D
а вместо public другое имя указать в настройках нельзя?
А чего все всполошились-то ?Всегда были знатные ляпы в коммутаторах в SNMP.
Например, в каких-то DLink можно прошивку по нему поменять (ну параметры для взятия прошивки с tftp).
Всегда надо менять "public" на что-то другое - и то сниффером наверное можно зацепить community
