Атака Cisco Smart Install порядок действий для защиты

Опубликовано Апрель 9, 2018 автором Sergey Bezpalov

Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.

Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.

Дополнительные источники информации: Cisco, Talos, CVE.

Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.

  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи.
  • Отключить функционал Cisco Smart Install командой «no vstack».
  • Удалить пользователя по умолчанию «cisco».
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Настроить мониторинг оборудования на предмет:
    — активации Cisco Smart Install (vstack) и порта TCP 4786;
    — активации порта UDP 18999 в системе (listening);
    — появления пользователя «cisco» в конфигурации.

Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».

Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:

Не работает «no vstack» — обновите ПО.
Не используете Smart Install, закройте TCP 4786.

Рубрика: Cisco, Security | Метки: | Оставить комментарий

Безопасные DNS сервера

Опубликовано Февраль 23, 2018 автором Sergey Bezpalov

OpenDNS

IPv4: 208.67.222.222, 208.67.220.220

IPv6: 2620:0:ccc::2, 2620:0:ccd::2

Fortiguard DNS

IPv4: 208.91.112.53, 208.91.112.52

Яндекс DNS

IPv4: 77.88.8.88, 77.88.8.2

IPv6: 2a02:6b8::feed:bad, 2a02:6b8:0:1::feed:bad

Google Public DNS

IPv4: 8.8.8.8, 8.8.4.4

IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844

Рубрика: Cisco, Fortinet, Quick Tip, Security | Метки: , , | Оставить комментарий

Настройка туннеля до Azure на Fortigate

Опубликовано Февраль 17, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.

config firewall address
edit «azure-network»
set subnet 10.0.111.0 255.255.255.0
next
edit «internal»
set subnet 192.168.111.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit «Azure»
set interface «port1»
set ike-version 2
set nattraversal disable
set keylife 56600
set proposal aes256-sha256
set dhgrp 2
set remote-gw 52.1.2.3
set psksecret key123key123key123
next
end
config vpn ipsec phase2-interface
edit «Azure»
set phase1name «Azure»
set proposal aes256-sha256
set dhgrp 14
set keepalive enable
set auto-negotiate enable
set src-addr-type name
set dst-addr-type name
set keylifeseconds 7200
set src-name «internal»
set dst-name «azure-network»
next
end
config system interface
edit «Azure»
set tcp-mss 1350
next
end
config router static
edit 2
set dst 10.0.111.0 255.255.255.0
set device «Azure»
next
end

Где:

port1 — интерфейс wan который будет инициализировать туннель
52.1.2.3 — адрес шлюза на стороне сервис провайдера
key123key123key123 — предварительный общий ключ
10.0.111.0 — локальная сеть на стороне сервис провайдера
192.168.111.0 — локальная сеть на вашей стороне

Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.

Рубрика: Azure, Fortinet, Microsoft, Quick Tip | Метки: , | Оставить комментарий

Настройка туннеля до Облакотеки на Cisco 4000 серии

Опубликовано Февраль 14, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Облакотека на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal CLOUD
encryption aes-cbc-128
integrity sha256
group 2
!
crypto ikev2 policy CLOUD
proposal CLOUD
!
crypto ikev2 keyring CLOUD
peer CLOUD
address 37.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile CLOUD
match address local 195.1.2.3
match identity remote address 37.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local CLOUD
!
crypto ipsec transform-set CLOUD esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile CLOUD
set transform-set CLOUD
set pfs group14
set ikev2-profile CLOUD
!
interface Tunnel1015
description — To CLOUD —
ip vrf forwarding Intranet
ip address 10.10.230.1 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 37.1.2.3
tunnel protection ipsec profile CLOUD
!
ip route vrf Intranet 192.168.150.0 255.255.255.0 Tunnel1015
!

Где:

37.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3- адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.150.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Выше приведены настройки IPSEC со стороны сервис провайдера.

Рубрика: Cisco, Quick Tip, Облакотека | Метки: , | Оставить комментарий

Настройка туннеля до Azure на Cisco 4000 серии

Опубликовано Февраль 14, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal AZURE
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy AZURE
proposal AZURE
!
crypto ikev2 keyring AZURE
peer AZURE
address 52.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile AZURE
match address local 195.1.2.3
match identity remote address 52.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local AZURE
!
crypto ipsec transform-set AZURE esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile AZURE
set transform-set AZURE
set ikev2-profile AZURE
!
interface Tunnel1016
description — To AZURE —
ip vrf forwarding Intranet
ip address 10.10.230.4 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 52.1.2.3
tunnel protection ipsec profile AZURE
!
ip route vrf Intranet 192.168.160.0 255.255.255.0 Tunnel1016
!

Где:

52.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3 — адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.160.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Рубрика: Azure, Cisco, Microsoft, Quick Tip | Метки: , | Оставить комментарий

PIN-коды токенов Aladdin по умолчанию

Опубликовано Январь 29, 2018 автором Sergey Bezpalov

Таблица со значениями PIN-кодов (паролей) по умолчанию:

 
Пользователя Администратора
JaCarta PKI 11111111 00000000
JaCarta ГОСТ не задан 1234567890
JaCarta LT 1234567890 не задан
eToken PRO Java 1234567890 не задан
eToken ГОСТ не задан 1234567890

В случае «комбинированной» модели, например, JaCarta PKI/ГОСТ используются пароли по умолчанию для каждого из апплетов. Исключение составляет JaCarta PKI/ГОСТ SE: PIN-код пользователя ГОСТ-апплета: 0987654321, остальные пароли стандартные.

Рубрика: Hardware, Security, Аладдин Р.Д. | Метки: , | Оставить комментарий

Пароль по умолчанию на 1600 серии телефонов Avaya

Опубликовано Июнь 23, 2017 автором Sergey Bezpalov

Согласно гида для администраторов заводской (по умолчанию) пароль 2 7 2 3 8.

Слово Craft (для удобства запоминания).

Работает для всей серии 16й серии IP телефонов Avaya (1603, 1608, 1616 и т.д.)

Рубрика: Avaya, Hardware, UC | Метки: , , , , | Оставить комментарий

Fallout 4 перестал запускаться

Опубликовано Август 19, 2016 автором Sergey Bezpalov

Обновил свой Windows 10 до версии 1607 (Anniversary Update) и у меня перестал запускаться Fallout 4 (Steam редакция).

Симптомы — запускается Launcher (стартовое окно с выбором опций запуска), выбираю Играть (Play), запускается приложение и вылетает на рабочий стол (без объяснения причин).

Решение — установка режима совместимости «Windows 8» для приложений Fallout4 и Fallout4Launcher, находящихся в «X:\Program Files (x86)\Steam\SteamApps\common\Fallout 4».

Рубрика: Off-topic, Windows | Метки: , , | Оставить комментарий

Неизвестная ошибка в фильмах на Apple TV 4го поколения

Опубликовано Март 27, 2016 автором Sergey Bezpalov

После установки обновления tvOS 9.2 на Apple TV 4го поколения, пропала возможность проигрывания фильмов из магазина Apple iTunes, на экране появляется сообщение «Неизвестная ошибка» и кнопка «OK».

Весь остальной функционал не затронут, например, приложения работают и проигрываю контент.

Симптомы:
Неизвестная ошибка в фильмах на Apple TV 4го поколения
Unknown error in films on Apple TV 4th after last update

Решение:
Переключите интерфейс с Русского на English без смены формата региона.
Дополнительно можно сделать logout с учетной записи iTunes с выбором забыть все сохраненные учетные данные.
В самом крайнем случае делается полный сброс, но тогда придется ставить приложения вновь.
Перезагрузка после каждого из этапов будет полезна.

Я начал с очистки учетных записей, не помогло, переключил интерфейс на English после этого показ заработал.

Дискуссия на форуме Apple доступна здесь.

Рубрика: Apple, Quick Tip | Метки: , | Оставить комментарий

Включение DKIM в Office 365

Опубликовано Январь 5, 2016 автором Sergey Bezpalov

Как включить функционал DKIM для вашего домена, если он размещен в Office 365 или защищен с помощью Exchange Online Protection? Все просто…

Во-первых, каждому домену, которому необходимо включить поддержку DKIM необходимо создать две записи CNAME в DNS зоне, обращаю внимание это не TXT записи, как при обычном внедрении.

Хост: selector1._domainkey
Значение: selector1-<domainGUID>._domainkey.<inititalDomain>
TTL: 3600

Хост: selector2._domainkey
Значение: selector2-<domainGUID>._domainkey.<inititalDomain>
TTL: 3600

<domainGUID> — это набор символов до .mail.protection.outlook.com упоминаемый в выданной вам MX записи Office 365.

Например, для домена example.ru:

где MX запись example.ru. 3600 IN MX 10 example-ru0c.mail.protection.outlook.com.

значением <domainGUID> будет example-ru0c.

<inititalDomain> — основной домен выбранный вами во время инициализации услуги, как правило указан в локальной учетной записи администратора услуги.

Например, для учетной записи admin@exampleru.onmicrosoft.com значением <inititalDomain> будет exampleru.

Таким образом для домена example.ru записи CNAME будут следующие:

selector1._domainkey.example.ru IN CNAME selector1-example-ru0c._domainkey.exampleru.onmicrosoft.com
selector2._domainkey.example.ru IN CNAME selector2-example-ru0c._domainkey.exampleru.onmicrosoft.com

Во-вторых, вам необходимо включить механизм DKIM подписывания для выбранного домена. Это можно сделать в панели управления
Exchange admin center > protection > dkim.

O365 DKIM GUI

Вы также можете это сделать посредством Powershell (как подключиться):

New-DkimSigningConfig –DomainName <domain> –Enabled $true

Диагностика, отправьте письмо на сторонний почтовый ящик и посмотрите заголовок почтового сообщения он должен содержать информацию о DKIM, например:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.ru;
s=selector1; h=From:To:Date:Subject:Message-ID:Content-Type:MIME-Version;
bh=<body hash>;
b=<signed field>

Более подробную информацию и текущие политики можно увидеть при помощи команды Get-DkimSigningConfig.

P.S.
Если отправить письмо на Яндекс.Почту, то открыв письмо в web можно увидеть зеленую печать рядом с адресатом, которая свидетельствует о подлинности цифровой подписи DKIM.

Дополнительная информация, доступна по ссылкам.

Рубрика: Exchange, Microsoft, Office 365, Security | Метки: , , | Оставить комментарий