Cisco CVE-2023-20198

В дикой природе хакеры-киберзатейники активно патчат циски, торчащие веб-мордой в интернеты или даже уязвимые локалки.
Рейтинг опасности — 10 из 10, уязвимость в веб-морде. Патчей никаких нет, решение — отключить веб-морду.

Отчет, описание баги и ссылка на чекалку: https://vulncheck.com/blog/cisco-implants
Новость: https://www.cnews.ru/news/top/2023-10-19_10-ballnaya_uyazvimost_v_ios

Красивая диаграмма с распространением сетевой инфекции по странам:

Кто быстро найдёт там Россию — тому плюсик за внимательность.
А вот что странно — вообще нет Китая. Обычно в таких уязвимостях они на почётном втором-третьем месте. То ли они всё зафайерволили (взломанные утсройства есть, но их не видит сканер), то ли они таки в рамках своего китайского импортозамещения таки выперли циску со своего рынка с концами.

Если злоумышленники активизируют всё разлитое по железу — грядут очень нескучные дни.

Это к вопросу о важности минимизации поверхности атаки (кто там забывал ACL-ки писать и ленился лишнюю команду вбить ?) и следовании принципам максимальной простоты и минимума привилегий.

Cisco 6504E-WS :: Rommon NVRAM area is corrupted.

Притащили тут древний девайс — циско 6504E. При старте эта зверь-машина выпадала в rommon и не грузилась.
Если вам интересны подобные железяки — велкам.
(далее…)

Cisco CVE и пятничный бодрячок

Вечер пятницы пошел отлично. Вместо фитнеса после работы пришлось бороться с упавшей железкой.
Старая древняя циска-3750 пала жертвой неуловимых американских хакеров.

Один довольно свежий эксплоит «Бодрячок»:

https://pikabu.ru/story/uyazvimost_v_cisco_cve2018017_ili_klassicheskaya_pyatnitsa_5829430

, примерно 8 млн уязвимых девайсов и дурная мода циски на небезопасный по-умолчанию конфиг, в котором включено куча всего, плюс традиционная админская лень (сомнительный принцип «работает — не трогай») сделали своё дело.
Смотрю я в текущий конфиг — а там ни интерфейсов, ни ацл-ок, ни хрена.
загрузочный конфиг вообще порадовал:

Don’t mess with our elections…
~JHT
usafreedom_jht@tutanota.com

… и американский флаг в ASCII-графике.

На экране 200%-ое доказательство вмешательства американских спецслужб посредством эксплойта «Бодрячок». Срочно разбомбить Вашингтон. Выслать всех дипломатов. Попросить Путина больше не выбирать Трампа президентом США.

Пока я созерцал эту чудную аски-графику и со своего ноута переносил бэкап циско-конфига на tftp, в это время мне уже позвонил мой коллега, и сообщил, что ломают массово. Так что первым делом конфигурим минимальный сетевой интерфейс, пишем no vstack, и восстанавливаем конфиг из бэкапа, не забывал проверить злосчастную опцию. write memory, reload.
Чекать конфиг, обновлять фирмварь, выключать неиспользуемые технологии.

Всем хороших выходных, свежих прошивок и хороших конфигураций.

🖧 модульное свинство

Есть такая вещь, как приёмно-передающие модули с разъёмами SFP/SFP+/XFP.

Идея была проста и изящна — при разработке сетевого оборудования производителю вообще не надо озадачиваться особенностями физлинка, реализуя только интерфейс к приёмо-передатчику. А уже особенности физической среды реализует небольшой вставляемый модуль, в зависимости от которого один и тот же интерфейс может быть хоть медным, хоть оптическим, хоть по одному волокну, хоть по двум, на разных длинах волн, с разной мощностью сигнала и так далее.

(далее…)

Провайдер и OSPF

В предыдущей заметке я написал, какой чумовой отжиг совершил мой интернет-провайдер, и чем это потенциально чревато. Однако, некоторые товарищи видимо не совсем понимают, как работают протоколы динамической маршрутизации вообще и OSPF в частности. А посему — наш бродячий цирк приглашает клоунов на сцену ! …

(далее…)

Провайдеры отаке

И никогда в жизни ваш проприетарный и б-гомерзкий EIGRP не сравнится с теплым ламповым OSPF ! …

(далее…)

кошко-фидбек

Все-таки в Сетевой Академии Cisco встречаются редкие жгуны. В конце каждого семестра обучения надо сдавать так называемый Feedback — в виде 17-20 вопросов интересуются, понравился ли курс, был ли он понятен, соответствовал ли твоим целям и так далее. Особенно понравился вопрос про цель прохождения курса в плане использования знаний. Особенно порадовал пункт "my hobby (personal or home)". Особенно учитывая, что это курс CCNA3.

Так и представил у себя дома картину маслом:
Два мерзко воющих кулерами L3-свитча от циски, соединенные парочкой транков, распиханные по трем VLAN-ам 5 девайсов, и до кучи ручками настроенные STP, VTP, DTP, ACL-ки и port-security. Уютно и по-домашнему так =)
Хотя идея не так уж и плоха =)

Мелкие полезняшки.

1). Если в линуксовой версии Packet Tracer 5 шрифты выглядят внутри заданий "разъехавшимися", то нужно
в файле /usr/local/PacketTracer51/packettracer [это обычный скрипт !] закомментировать строку:

# export LD_LIBRARY_PATH=$PTDIR/lib

Это приведет к тому, что будет использована стандартная версия библиотеки Qt, которая должна быть установлена в системе. /* х.з. что за версия, на ноуте с федорой-8 я ничего дополнительно не ставил */

2). Китайские USB-2-COM(RS232) контроллеры даже 8-й версией федоры замечательно видятся нативно. В отличии от виндовс, тут не надо ставить дрова (нативная поддержка модулем ядра, даже такого древнего !!!) и перезагружаться, просто втыкаем китайский контроллер в USB-порт ноута, RS232-порт контроллера подсоединяем к цыцке, и коннетимся с помощью putty (в графике) или minicom (в консоли), указывая в качестве порта /dev/ttyUSB0.
P.S. Список портов проще всего получить такой командой:

[Amin@AminNotebook ~]$ ls /dev/ttyUSB*
/dev/ttyUSB0

P.S.S. Терминал прекрасно пашет, в ROMMON тоже войти проблем нет.

Концептнейшая игруха от компании Cisco

Оказывается, компания Cisco производит не только сетевое оборудование и кондитерские изделия, но еще и игрухи на флеше пишет. Не знаю, какую цель ставили разработчики, но игруха получилось по-своему прикольная и ржачная. …

(далее…)

Циско =)

Есть такая фраза «Админ цветы и конфеты не пьёт».
Однако, с конфетами похоже есть и исключение: