Уязвимый коммутатор Cisco Catalyst 2960G-48TC-L. Фото: Cisco
Компания Cisco опубликовала информацию (ID бюллетеня: cisco-sa-20170317-cmp) о критической уязвимости в протоколе Cluster Management Protocol (CMP), который поставляется с программным обеспечением Cisco IOS XE Software. Уязвимость CVE-2017-3881 даёт возможность удалённого исполнения кода с повышенными привилегиями в межсетевой операционной системе Cisco IOS любым неавторизованным удалённым пользователем (которому известно о баге).
О нём точно было известно сотрудникам ЦРУ, что следует из документов, опубликованных на сайте Wikileaks в рамках проекта Vault 7 (Year Zero). Специалисты по безопасности Cisco говорят, что нашли информацию об уязвимости, проведя анализ этих документов.
Протокол CMP основан на протоколе telnet, но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet. Какие конкретно параметры нужно использовать для проявления бага при обработке запроса — не сообщается.
Компания Cisco публикует инструкцию, как проверить наличие подсистемы CMP в программном обеспечении, которое работает на устройстве.
Проверка CMP:
show subsys class protocol | include ^cmpЕсли подсистема CMP отсутствует, ответ будет такой:
Switch#show subsys class protocol | include ^cmp
Switch#Если подсистема CMP присутствует, ответ будет следующий:
Switch#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
Switch#В случае наличия подсистемы CMP на вашем коммутаторе можно проверить, принимает ли CMP входящие соединения telnet. И, соответственно, можно ли провести на него вышеупомянутую атаку с удалённым исполнением кода путём специальным образом сформированной команды.
Проверка поддержки входящих соединений telnet:
show running-config | include ^line vty|transport inputНапример, в случае использования настроек по умолчанию в строке виртуального терминала (VTY) будут просто указаны номера терминалов без особых примечаний:
Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#Настройки по умолчанию включают в себя входящие соединения telnet на всех виртуальных терминалах с 0-го по 15-й. Следовательно, это уязвимая конфигурация.
Для сравнения, вот специальная конфигурация, где только протокол SSH разрешен на всех виртуальных терминалах:
Switch#show running-config | include ^line vty|transport input
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
Switch#Такая конфигурация не будет уязвимой.
Cisco проверила версии Cisco IOS XE Software и точно выяснила список 318 коммутаторов и других сетевых устройств, подверженных данной уязвимости. Если устройства нет в списке, то оно точно безопасно.
Список включает 264 коммутатора серии Catalyst, 40 промышленных коммутаторов серии Industrial Ethernet и 14 других устройств Cisco.
Модели уязвимых устройств
- Cisco Catalyst 2350-48TD-S Switch
- Cisco Catalyst 2350-48TD-SD Switch
- Cisco Catalyst 2360-48TD-S Switch
- Cisco Catalyst 2918-24TC-C Switch
- Cisco Catalyst 2918-24TT-C Switch
- Cisco Catalyst 2918-48TC-C Switch
- Cisco Catalyst 2918-48TT-C Switch
- Cisco Catalyst 2928-24TC-C Switch
- Cisco Catalyst 2960-24-S Switch
- Cisco Catalyst 2960-24LC-S Switch
- Cisco Catalyst 2960-24LT-L Switch
- Cisco Catalyst 2960-24PC-L Switch
- Cisco Catalyst 2960-24PC-S Switch
- Cisco Catalyst 2960-24TC-L Switch
- Cisco Catalyst 2960-24TC-S Switch
- Cisco Catalyst 2960-24TT-L Switch
- Cisco Catalyst 2960-48PST-L Switch
- Cisco Catalyst 2960-48PST-S Switch
- Cisco Catalyst 2960-48TC-L Switch
- Cisco Catalyst 2960-48TC-S Switch
- Cisco Catalyst 2960-48TT-L Switch
- Cisco Catalyst 2960-48TT-S Switch
- Cisco Catalyst 2960-8TC-L Compact Switch
- Cisco Catalyst 2960-8TC-S Compact Switch
- Cisco Catalyst 2960-Plus 24LC-L Switch
- Cisco Catalyst 2960-Plus 24LC-S Switch
- Cisco Catalyst 2960-Plus 24PC-L Switch
- Cisco Catalyst 2960-Plus 24PC-S Switch
- Cisco Catalyst 2960-Plus 24TC-L Switch
- Cisco Catalyst 2960-Plus 24TC-S Switch
- Cisco Catalyst 2960-Plus 48PST-L Switch
- Cisco Catalyst 2960-Plus 48PST-S Switch
- Cisco Catalyst 2960-Plus 48TC-L Switch
- Cisco Catalyst 2960-Plus 48TC-S Switch
- Cisco Catalyst 2960C-12PC-L Switch
- Cisco Catalyst 2960C-8PC-L Switch
- Cisco Catalyst 2960C-8TC-L Switch
- Cisco Catalyst 2960C-8TC-S Switch
- Cisco Catalyst 2960CG-8TC-L Compact Switch
- Cisco Catalyst 2960CPD-8PT-L Switch
- Cisco Catalyst 2960CPD-8TT-L Switch
- Cisco Catalyst 2960CX-8PC-L Switch
- Cisco Catalyst 2960CX-8TC-L Switch
- Cisco Catalyst 2960G-24TC-L Switch
- Cisco Catalyst 2960G-48TC-L Switch
- Cisco Catalyst 2960G-8TC-L Compact Switch
- Cisco Catalyst 2960L-16PS-LL Switch
- Cisco Catalyst 2960L-16TS-LL Switch
- Cisco Catalyst 2960L-24PS-LL Switch
- Cisco Catalyst 2960L-24TS-LL Switch
- Cisco Catalyst 2960L-48PS-LL Switch
- Cisco Catalyst 2960L-48TS-LL Switch
- Cisco Catalyst 2960L-8PS-LL Switch
- Cisco Catalyst 2960L-8TS-LL Switch
- Cisco Catalyst 2960PD-8TT-L Compact Switch
- Cisco Catalyst 2960S-24PD-L Switch
- Cisco Catalyst 2960S-24PS-L Switch
- Cisco Catalyst 2960S-24TD-L Switch
- Cisco Catalyst 2960S-24TS-L Switch
- Cisco Catalyst 2960S-24TS-S Switch
- Cisco Catalyst 2960S-48FPD-L Switch
- Cisco Catalyst 2960S-48FPS-L Switch
- Cisco Catalyst 2960S-48LPD-L Switch
- Cisco Catalyst 2960S-48LPS-L Switch
- Cisco Catalyst 2960S-48TD-L Switch
- Cisco Catalyst 2960S-48TS-L Switch
- Cisco Catalyst 2960S-48TS-S Switch
- Cisco Catalyst 2960S-F24PS-L Switch
- Cisco Catalyst 2960S-F24TS-L Switch
- Cisco Catalyst 2960S-F24TS-S Switch
- Cisco Catalyst 2960S-F48FPS-L Switch
- Cisco Catalyst 2960S-F48LPS-L Switch
- Cisco Catalyst 2960S-F48TS-L Switch
- Cisco Catalyst 2960S-F48TS-S Switch
- Cisco Catalyst 2960X-24PD-L Switch
- Cisco Catalyst 2960X-24PS-L Switch
- Cisco Catalyst 2960X-24PSQ-L Cool Switch
- Cisco Catalyst 2960X-24TD-L Switch
- Cisco Catalyst 2960X-24TS-L Switch
- Cisco Catalyst 2960X-24TS-LL Switch
- Cisco Catalyst 2960X-48FPD-L Switch
- Cisco Catalyst 2960X-48FPS-L Switch
- Cisco Catalyst 2960X-48LPD-L Switch
- Cisco Catalyst 2960X-48LPS-L Switch
- Cisco Catalyst 2960X-48TD-L Switch
- Cisco Catalyst 2960X-48TS-L Switch
- Cisco Catalyst 2960X-48TS-LL Switch
- Cisco Catalyst 2960XR-24PD-I Switch
- Cisco Catalyst 2960XR-24PD-L Switch
- Cisco Catalyst 2960XR-24PS-I Switch
- Cisco Catalyst 2960XR-24PS-L Switch
- Cisco Catalyst 2960XR-24TD-I Switch
- Cisco Catalyst 2960XR-24TD-L Switch
- Cisco Catalyst 2960XR-24TS-I Switch
- Cisco Catalyst 2960XR-24TS-L Switch
- Cisco Catalyst 2960XR-48FPD-I Switch
- Cisco Catalyst 2960XR-48FPD-L Switch
- Cisco Catalyst 2960XR-48FPS-I Switch
- Cisco Catalyst 2960XR-48FPS-L Switch
- Cisco Catalyst 2960XR-48LPD-I Switch
- Cisco Catalyst 2960XR-48LPD-L Switch
- Cisco Catalyst 2960XR-48LPS-I Switch
- Cisco Catalyst 2960XR-48LPS-L Switch
- Cisco Catalyst 2960XR-48TD-I Switch
- Cisco Catalyst 2960XR-48TD-L Switch
- Cisco Catalyst 2960XR-48TS-I Switch
- Cisco Catalyst 2960XR-48TS-L Switch
- Cisco Catalyst 2970G-24T Switch
- Cisco Catalyst 2970G-24TS Switch
- Cisco Catalyst 2975 Switch
- Cisco Catalyst 3550 12G Switch
- Cisco Catalyst 3550 12T Switch
- Cisco Catalyst 3550 24 DC SMI Switch
- Cisco Catalyst 3550 24 EMI Switch
- Cisco Catalyst 3550 24 FX SMI Switch
- Cisco Catalyst 3550 24 PWR Switch
- Cisco Catalyst 3550 24 SMI Switch
- Cisco Catalyst 3550 48 EMI Switch
- Cisco Catalyst 3550 48 SMI Switch
- Cisco Catalyst 3560-12PC-S Compact Switch
- Cisco Catalyst 3560-24PS Switch
- Cisco Catalyst 3560-24TS Switch
- Cisco Catalyst 3560-48PS Switch
- Cisco Catalyst 3560-48TS Switch
- Cisco Catalyst 3560-8PC Compact Switch
- Cisco Catalyst 3560C-12PC-S Switch
- Cisco Catalyst 3560C-8PC-S Switch
- Cisco Catalyst 3560CG-8PC-S Compact Switch
- Cisco Catalyst 3560CG-8TC-S Compact Switch
- Cisco Catalyst 3560CPD-8PT-S Compact Switch
- Cisco Catalyst 3560CX-12PC-S Switch
- Cisco Catalyst 3560CX-12PD-S Switch
- Cisco Catalyst 3560CX-12TC-S Switch
- Cisco Catalyst 3560CX-8PC-S Switch
- Cisco Catalyst 3560CX-8PT-S Switch
- Cisco Catalyst 3560CX-8TC-S Switch
- Cisco Catalyst 3560CX-8XPD-S Switch
- Cisco Catalyst 3560E-12D-E Switch
- Cisco Catalyst 3560E-12D-S Switch
- Cisco Catalyst 3560E-12SD-E Switch
- Cisco Catalyst 3560E-12SD-S Switch
- Cisco Catalyst 3560E-24PD-E Switch
- Cisco Catalyst 3560E-24PD-S Switch
- Cisco Catalyst 3560E-24TD-E Switch
- Cisco Catalyst 3560E-24TD-S Switch
- Cisco Catalyst 3560E-48PD-E Switch
- Cisco Catalyst 3560E-48PD-EF Switch
- Cisco Catalyst 3560E-48PD-S Switch
- Cisco Catalyst 3560E-48PD-SF Switch
- Cisco Catalyst 3560E-48TD-E Switch
- Cisco Catalyst 3560E-48TD-S Switch
- Cisco Catalyst 3560G-24PS Switch
- Cisco Catalyst 3560G-24TS Switch
- Cisco Catalyst 3560G-48PS Switch
- Cisco Catalyst 3560G-48TS Switch
- Cisco Catalyst 3560V2-24DC Switch
- Cisco Catalyst 3560V2-24PS Switch
- Cisco Catalyst 3560V2-24TS Switch
- Cisco Catalyst 3560V2-48PS Switch
- Cisco Catalyst 3560V2-48TS Switch
- Cisco Catalyst 3560X-24P-E Switch
- Cisco Catalyst 3560X-24P-L Switch
- Cisco Catalyst 3560X-24P-S Switch
- Cisco Catalyst 3560X-24T-E Switch
- Cisco Catalyst 3560X-24T-L Switch
- Cisco Catalyst 3560X-24T-S Switch
- Cisco Catalyst 3560X-24U-E Switch
- Cisco Catalyst 3560X-24U-L Switch
- Cisco Catalyst 3560X-24U-S Switch
- Cisco Catalyst 3560X-48P-E Switch
- Cisco Catalyst 3560X-48P-L Switch
- Cisco Catalyst 3560X-48P-S Switch
- Cisco Catalyst 3560X-48PF-E Switch
- Cisco Catalyst 3560X-48PF-L Switch
- Cisco Catalyst 3560X-48PF-S Switch
- Cisco Catalyst 3560X-48T-E Switch
- Cisco Catalyst 3560X-48T-L Switch
- Cisco Catalyst 3560X-48T-S Switch
- Cisco Catalyst 3560X-48U-E Switch
- Cisco Catalyst 3560X-48U-L Switch
- Cisco Catalyst 3560X-48U-S Switch
- Cisco Catalyst 3750 Metro 24-AC Switch
- Cisco Catalyst 3750 Metro 24-DC Switch
- Cisco Catalyst 3750-24FS Switch
- Cisco Catalyst 3750-24PS Switch
- Cisco Catalyst 3750-24TS Switch
- Cisco Catalyst 3750-48PS Switch
- Cisco Catalyst 3750-48TS Switch
- Cisco Catalyst 3750E-24PD-E Switch
- Cisco Catalyst 3750E-24PD-S Switch
- Cisco Catalyst 3750E-24TD-E Switch
- Cisco Catalyst 3750E-24TD-S Switch
- Cisco Catalyst 3750E-48PD-E Switch
- Cisco Catalyst 3750E-48PD-EF Switch
- Cisco Catalyst 3750E-48PD-S Switch
- Cisco Catalyst 3750E-48PD-SF Switch
- Cisco Catalyst 3750E-48TD-E Switch
- Cisco Catalyst 3750E-48TD-S Switch
- Cisco Catalyst 3750G-12S Switch
- Cisco Catalyst 3750G-12S-SD Switch
- Cisco Catalyst 3750G-16TD Switch
- Cisco Catalyst 3750G-24PS Switch
- Cisco Catalyst 3750G-24T Switch
- Cisco Catalyst 3750G-24TS Switch
- Cisco Catalyst 3750G-24TS-1U Switch
- Cisco Catalyst 3750G-48PS Switch
- Cisco Catalyst 3750G-48TS Switch
- Cisco Catalyst 3750V2-24FS Switch
- Cisco Catalyst 3750V2-24PS Switch
- Cisco Catalyst 3750V2-24TS Switch
- Cisco Catalyst 3750V2-48PS Switch
- Cisco Catalyst 3750V2-48TS Switch
- Cisco Catalyst 3750X-12S-E Switch
- Cisco Catalyst 3750X-12S-S Switch
- Cisco Catalyst 3750X-24P-E Switch
- Cisco Catalyst 3750X-24P-L Switch
- Cisco Catalyst 3750X-24P-S Switch
- Cisco Catalyst 3750X-24S-E Switch
- Cisco Catalyst 3750X-24S-S Switch
- Cisco Catalyst 3750X-24T-E Switch
- Cisco Catalyst 3750X-24T-L Switch
- Cisco Catalyst 3750X-24T-S Switch
- Cisco Catalyst 3750X-24U-E Switch
- Cisco Catalyst 3750X-24U-L Switch
- Cisco Catalyst 3750X-24U-S Switch
- Cisco Catalyst 3750X-48P-E Switch
- Cisco Catalyst 3750X-48P-L Switch
- Cisco Catalyst 3750X-48P-S Switch
- Cisco Catalyst 3750X-48PF-E Switch
- Cisco Catalyst 3750X-48PF-L Switch
- Cisco Catalyst 3750X-48PF-S Switch
- Cisco Catalyst 3750X-48T-E Switch
- Cisco Catalyst 3750X-48T-L Switch
- Cisco Catalyst 3750X-48T-S Switch
- Cisco Catalyst 3750X-48U-E Switch
- Cisco Catalyst 3750X-48U-L Switch
- Cisco Catalyst 3750X-48U-S Switch
- Cisco Catalyst 4000 Supervisor Engine I
- Cisco Catalyst 4000/4500 Supervisor Engine IV
- Cisco Catalyst 4000/4500 Supervisor Engine V
- Cisco Catalyst 4500 Series Supervisor Engine II-Plus
- Cisco Catalyst 4500 Series Supervisor Engine II-Plus-TS
- Cisco Catalyst 4500 Series Supervisor Engine V-10GE
- Cisco Catalyst 4500 Series Supervisor II-Plus-10GE
- Cisco Catalyst 4500 Supervisor Engine 6-E
- Cisco Catalyst 4500 Supervisor Engine 6L-E
- Cisco Catalyst 4900M Switch
- Cisco Catalyst 4928 10 Gigabit Ethernet Switch
- Cisco Catalyst 4948 10 Gigabit Ethernet Switch
- Cisco Catalyst 4948 Switch
- Cisco Catalyst 4948E Ethernet Switch
- Cisco Catalyst 4948E-F Ethernet Switch
- Cisco Catalyst Blade Switch 3020 for HP
- Cisco Catalyst Blade Switch 3030 for Dell
- Cisco Catalyst Blade Switch 3032 for Dell M1000E
- Cisco Catalyst Blade Switch 3040 for FSC
- Cisco Catalyst Blade Switch 3120 for HP
- Cisco Catalyst Blade Switch 3120X for HP
- Cisco Catalyst Blade Switch 3130 for Dell M1000E
- Cisco Catalyst C2928-24LT-C Switch
- Cisco Catalyst C2928-48TC-C Switch
- Cisco Catalyst Switch Module 3012 for IBM BladeCenter
- Cisco Catalyst Switch Module 3110 for IBM BladeCenter
- Cisco Catalyst Switch Module 3110X for IBM BladeCenter
- Cisco Embedded Service 2020 24TC CON B Switch
- Cisco Embedded Service 2020 24TC CON Switch
- Cisco Embedded Service 2020 24TC NCP B Switch
- Cisco Embedded Service 2020 24TC NCP Switch
- Cisco Embedded Service 2020 CON B Switch
- Cisco Embedded Service 2020 CON Switch
- Cisco Embedded Service 2020 NCP B Switch
- Cisco Embedded Service 2020 NCP Switch
- Cisco Enhanced Layer 2 EtherSwitch Service Module
- Cisco Enhanced Layer 2/3 EtherSwitch Service Module
- Cisco Gigabit Ethernet Switch Module (CGESM) for HP
- Cisco IE 2000-16PTC-G Industrial Ethernet Switch
- Cisco IE 2000-16T67 Industrial Ethernet Switch
- Cisco IE 2000-16T67P Industrial Ethernet Switch
- Cisco IE 2000-16TC Industrial Ethernet Switch
- Cisco IE 2000-16TC-G Industrial Ethernet Switch
- Cisco IE 2000-16TC-G-E Industrial Ethernet Switch
- Cisco IE 2000-16TC-G-N Industrial Ethernet Switch
- Cisco IE 2000-16TC-G-X Industrial Ethernet Switch
- Cisco IE 2000-24T67 Industrial Ethernet Switch
- Cisco IE 2000-4S-TS-G Industrial Ethernet Switch
- Cisco IE 2000-4T Industrial Ethernet Switch
- Cisco IE 2000-4T-G Industrial Ethernet Switch
- Cisco IE 2000-4TS Industrial Ethernet Switch
- Cisco IE 2000-4TS-G Industrial Ethernet Switch
- Cisco IE 2000-8T67 Industrial Ethernet Switch
- Cisco IE 2000-8T67P Industrial Ethernet Switch
- Cisco IE 2000-8TC Industrial Ethernet Switch
- Cisco IE 2000-8TC-G Industrial Ethernet Switch
- Cisco IE 2000-8TC-G-E Industrial Ethernet Switch
- Cisco IE 2000-8TC-G-N Industrial Ethernet Switch
- Cisco IE 3000-4TC Industrial Ethernet Switch
- Cisco IE 3000-8TC Industrial Ethernet Switch
- Cisco IE-3010-16S-8PC Industrial Ethernet Switch
- Cisco IE-3010-24TC Industrial Ethernet Switch
- Cisco IE-4000-16GT4G-E Industrial Ethernet Switch
- Cisco IE-4000-16T4G-E Industrial Ethernet Switch
- Cisco IE-4000-4GC4GP4G-E Industrial Ethernet Switch
- Cisco IE-4000-4GS8GP4G-E Industrial Ethernet Switch
- Cisco IE-4000-4S8P4G-E Industrial Ethernet Switch
- Cisco IE-4000-4T4P4G-E Industrial Ethernet Switch
- Cisco IE-4000-4TC4G-E Industrial Ethernet Switch
- Cisco IE-4000-8GS4G-E Industrial Ethernet Switch
- Cisco IE-4000-8GT4G-E Industrial Ethernet Switch
- Cisco IE-4000-8GT8GP4G-E Industrial Ethernet Switch
- Cisco IE-4000-8S4G-E Industrial Ethernet Switch
- Cisco IE-4000-8T4G-E Industrial Ethernet Switch
- Cisco IE-4010-16S12P Industrial Ethernet Switch
- Cisco IE-4010-4S24P Industrial Ethernet Switch
- Cisco IE-5000-12S12P-10G Industrial Ethernet Switch
- Cisco IE-5000-16S12P Industrial Ethernet Switch
- Cisco ME 4924-10GE Switch
- Cisco RF Gateway 10
- Cisco SM-X Layer 2/3 EtherSwitch Service Module
Попытки эксплуатации данной уязвимости можно увидеть в логах по сигнатурам Cisco IPS Signature 7880-0, Snort SID 41909 и 41910, пишет компания Cisco.
Обойти уязвимость каким-либо способом невозможно, только если полностью отключить входящие telnet-соединения и оставить SSH. На данный момент Cisco рекомендует такую конфигурацию. Если отключение telnet для вас неприемлемо, можно уменьшить вероятность атаки, ограничив доступ с помощью Infrastructure Protection Access Control Lists.
Cisco пообещала выпустить патч в будущем.
Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ. Пока что о закрытии багов сообщали только разработчики программного обеспечения. Разумеется, документы ещё следует внимательно проанализировать. Сайт Wikileaks пока не выложил файлы эксплойтов ЦРУ в открытый доступ, но обещал предоставить их в первую очередь вендорам для приоритетного закрытия уязвимостей, прежде чем отдать эти инструменты в руки всех желающих. Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям.
Поделиться с друзьями
Комментарии (26)
past
21.03.2017 14:46Telnet такой telnet.
mitasamodel
21.03.2017 23:57Протокол CMP основан на протоколе telnet, но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet.
Ethernet такой Ethernet… Сколько дряни через него поступает на компьютеры. /joke
menraen
21.03.2017 17:56+2По нынешней тенденции давать уязвимостям имена типа Heartbleed, Shellshock, и т.п. предлагаю эту штуку назвать «ClusterF#ck» :)
wikipro
21.03.2017 18:49+1может хватит уже БекДоры АНБ/ЦРУ называть уязвимостями или багами…
по моему никто не верит что АНБ и ЦРУ как Стахановцы готовы только коммутаторы Циско взламывать по 318 за раз.
PS Есть большое подозрение что когда вскрывается 1 дырка которая на самом деле была закладка и вендоры вынуждены выпускать патч, то в этом патче или следующем содержится новый бекдор.
Возможно имеет смысл порыться и дизасемблировать патчи Windows, которые затыкают вскрытые бекдоры. По моей теории в них или последующих патчах/апгрейдах на эту подсистему (например Стек TCP/IP) д.б. новые бекдоры. Патчи сравнительно маленькие и проанализировать их проще чем весть код стека TCP/IP или прошивки устройства. причём т.к. прошивки меняют сильно реже то по моим предположениям, каждый патч должен содержать новый бекдор, а искать его надо только в изменённом коде прошивки.
Хотелось бы комментариев моей теории от специалистов.
TimsTims
22.03.2017 09:31имеет смысл порыться и дизасемблировать патчи Windows
Бекдоры на то и бекдоры, что их так просто не разглядеть дисассемблировав.
xby
22.03.2017 11:18Как говорится, «с языка снял», поддерживаю эту точку зрения на 100%. Да и изначально, совсем не обязательно было всей Cisco или Microsoft знать об этих «багах», просто конкретный человек делает свое дело для конторы и иже с ними. А даже если и знали, то неужели кто-то верит, что они сейчас посыпая голову пеплом бренды скажут, что знали…
Rend
22.03.2017 00:25+1Cisco пообещала выпустить патч в будущем.
И патч будет доступен только при наличии активной подписки. А подписка — только за денежку.
bikerr
22.03.2017 09:12На подобные коммутаторы ПО всегда доступно через гостевой аккаунт без смартнета.
VitMain
22.03.2017 10:02Для большей части коммутаторов софт можно слить просто создав пользователя на сайте Cisco.
Chupaka
22.03.2017 10:01"Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ"
Вроде и не скажешь, что MikroTik сильно мелкие, так что спорное утверждение: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
grims
22.03.2017 10:02cat0#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
cat0#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Чтобы это могла значить?
alhel
22.03.2017 10:02Коллеги подскажите, предоставляет ли cisco обновленные прошивки, хотя бы безопасности без контракта и прочего? Может неофициальный ресурс подскажите с последними прошивками.
Ugrum
22.03.2017 10:07Может неофициальный ресурс подскажите с последними прошивками.
И свежими дырками.
zanswer
22.03.2017 10:54Да, предоставляет, официально, с некоторыми оговорками, регулируется это Security Vulnerability Policy: http://www.cisco.com/c/en/us/about/security-center/security-vulnerability-policy.html#ssu
Процедура выглядит следующим образом, вы открываете в TAC заявку на обновление программного обеспечения. В качестве причины, указываете на конкретный опубликованный Cisco документ (только на их сайте, это очень важно!), о том, что программное обеспечение, установленное на вашем устройстве, подвержено уязвимости. После анализа вашей ситуации, инженер TAC направит официальный запрос на выдачу, вам обновления, версию обновления вы выберете сами.
P/S/ Я не так давно, сам проходил данную процедуру и хотя инженер TAC трижды сказал, что мне нужен контракт, тем не менее, после того, как я указал на документ выше, он согласился, что я всё же имею право на получение обновления в данном конкретном случае.
hp6812er
23.03.2017 22:38Мне вот интересно, ну, допустим, с коммутаторами можно найти альтернативу, купить отечественные. Но как быть с маршрутизаторами? Альтернатива китай, хуавей, а как у них с закладками?
Tufed
закрыть уязвимость — это только закрыть первую дверь. Если к железке уже подключались и уже модифицировали под свои нужды, то нужно еще и эту дрянь убирать. Что-то мне подсказывает что чтобы не использовать эксплойт каждый раз (и вдруг его прикроют) — всяко лучше перебрать доступные железки и залепить туда аккуратненький бэкдор. Для сетевых железок которые онлайн 24/7/356 и которые гонят через себя магистрали — я бы лично так и сделал, а это в первую очередь.
Sadler
Бэкапьте рабочую конфигурацию железки и прошивку после первоначальной настройки. Это коммутатор, вряд ли Вы ежедневно крутите его параметры.
lrsi
Возми чистую флешку, залей свежескаченный ios, залей конфиг из бекапа — всех делов-то на 5 минут. Заодно и обновишся… :)
В списке практически нет «магистрального» железа, под него подходит всего пара перечисленных моделей да и то — с натяжкой. Остальное — чисто access switch, то есть — из внешней сети скорей всего недоступен бай дефолт.