The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Устранена критическая уязвимость, затрагивающая 318 моделей коммутаторов Cisco

10.05.2017 09:25

Компания Cisco выпустила обновление прошивки, в котором устранена критическая уязвимость (CVE-2017-3881), позволяющая получить доступ к коммутаторам на базе Cisco IOS и Cisco IOS XE, поддерживающим протокол CMP (Cluster Management Protocol). Атакующий может получить полный контроль над коммутатором, передав специфичный набор опций CMP при обращении к устройству через telnet. В том числе уязвимости подвержены популярные модели коммутаторов Cisco Catalyst 29xx, 35xx, 37xx, 45xx, 49xx.

Уязвимость подтверждена в 318 моделях коммутаторов Cisco и позволяет без аутентификации выполнить любые команды в интерфейсе командной строки, при наличии у атакующего доступа к коммутатору по протоколу telnet. Проблема вызвана ошибкой в реализации протокола CMP, предназначенного для построения кластеров коммутаторов, и связана с тем, что опции CMP могли использоваться не только для локально подключенных между собой устройств, но и при внешнем запросе по сети. В качестве обходного пути защиты можно ограничить доступ к 23 сетевому порту (telnet) или отключить обработку опций CMP. Информация об уязвимости была выявлена в ходе разбора мартовской утечки документов ЦРУ.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: WikiLeaks опубликовал 8 тысяч документов ЦРУ с описанием инструментов и методов атак
  3. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  4. OpenNews: Серия уязвимостей в продуктах Cisco, выявленных после публикации эксплоитов АНБ
  5. OpenNews: Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей
  6. OpenNews: Опубликована третья порция эксплоитов АНБ
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cisco
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 09:38, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]
  • +23 +/
    Компания Cisco выпустила обновление прошивки, которое вы можете скачать с сайта производителя за 9.85$ при условии действующей гарантии и подтверждения подписки на ежечасный сборник ссылок "Wise housewife".
     
     
  • 2.12, Аноним (-), 11:57, 10/05/2017 [^] [ответить]    [к модератору]
  • –12 +/
    Предпочитаете чтобы было как с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?

    Любая тех. поддержка стоит денег.

     
     
  • 3.13, Аноним (-), 12:04, 10/05/2017 [^] [ответить]    [к модератору]
  • +13 +/
    Серьезно? Вы считаете, что даже патчи для таких серьезных дыр можно распространять за деньги?

    Если такая "поддержка" стоит денег, то пусть открывают исходники, за них поработают другие люди. Дыр меньше будет.

     
     
  • 4.14, Аноним (-), 12:08, 10/05/2017 [^] [ответить]    [к модератору]
  • –10 +/
    Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

    > Если такая "поддержка" стоит денег, то пусть открывают исходники

    Не вижу логической связи между двумя частями предложения. У вас есть возможность использовать другие продукты других разработчиков, если считаете что у них больше/лучше.

    Поддержка везде стоит денег. Просто эти деньги иногда платите вы лично, а иногда АНБ. Знаете, кто платит, тот и заказывает музыку. Предпочитаю платить сам.

     
     
  • 5.17, Гость (??), 12:25, 10/05/2017 [^] [ответить]    [к модератору]
  • +5 +/
    > Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

    Принимать надо профессионалов, а не по блату или с улицы. И если компания пытается сэкономить на стоимости разработки, то все издержки должен оплачивать производитель, а покупатель. Например, ты покупаешь машину, а в ней какой-то заводской недочет. Ты в сервис, а с тебя "бабки" трясут. Ты согласишься и отдашь за то, что должны сделать бесплатно?

    > У вас есть возможность использовать другие продукты других разработчиков

    Так может тогда производитель деньги вернет, а не наживается на потребителях еще раз?

    Предложи Google монетизировать поддержку своих продуктов и люди перейдут на обычные телефоны.

     
     
  • 6.18, Гость (??), 12:26, 10/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    * а не покупатель.
     
  • 6.19, Аноним (-), 13:13, 10/05/2017 [^] [ответить]    [к модератору]  
  • –9 +/
    Если уж ты упомянул автомобиль, не подскажешь в каком сервисе выполняют бесплатное тех. обслуживание? А сколько автомобилей ты уже вернул потому что тебе отказали в бесплатном тех. обслуживании после первых 3 лет эксплуатации?
     
     
  • 7.20, Аноним (-), 13:21, 10/05/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Могу послать в гугл за данными о том, как часто отзывают автомобили из-за потенциального критического дефекта. Это происходит довольно часто. Тут ситуация абсолютно та же.

    Пойми, никто не требует новых фишечек бесплатно. Тут можно согласиться, что подобные обновления можно получать за деньги. Но то, за что ты изначально платил, должно функционировать железно. Без уязвимостей. Simple as that.

     
     
  • 8.24, Аноним (-), 13:45, 10/05/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Автопроизводитель даёт гарантию и отзывает только в пределах гарантийного (= заранее оплаченного и включённого в стоимость при покупке) срока. Обычно предлагают доплатить чтобы продлить этот срок ещё на несколько лет. За пределами срока - за свой счёт.

    С патчами ситуация аналогичная: в стоимость продукта обычно включено несколько лет бесплатных обновлений, дальше за деньги.

    > Без уязвимостей

    Пока нет возможности математически доказать отсутствие ошибок в коде, под таким никто не подпишется.

    > Но то, за что ты изначально платил

    Там обычно написано что-то вроде такого (далее п.15 лицензии GPL в переводе с оф.сайта):

    НА ПРОГРАММУ НЕ ПРЕДОСТАВЛЯЕТСЯ НИКАКИХ ГАРАНТИЙ ЗА ИСКЛЮЧЕНИЕМ ПРЕДУСМОТРЕННЫХ
    ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ. ЕСЛИ ИНОЕ НЕ УКАЗАНО В ПИСЬМЕННОЙ ФОРМЕ,
    ПРАВООБЛАДАТЕЛИ И (ИЛИ) ТРЕТЬИ ЛИЦА ПРЕДОСТАВЛЯЮТ ПРОГРАММУ "КАК ЕСТЬ", БЕЗ
    КАКИХ-ЛИБО ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ, ВКЛЮЧАЯ ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ
    КОНКРЕТНЫХ ЦЕЛЕЙ, НО НЕ ОГРАНИЧИВАЯСЬ ИМИ. ВЕСЬ РИСК, СВЯЗАННЫЙ С КАЧЕСТВОМ И
    ПРОИЗВОДИТЕЛЬНОСТЬЮ ПРОГРАММЫ, ВОЗЛАГАЕТСЯ НА ВАС. ЕСЛИ В ПРОГРАММЕ БУДУТ
    ВЫЯВЛЕНЫ НЕДОСТАТКИ, ВЫ ПРИНИМАЕТЕ НА СЕБЯ СТОИМОСТЬ ВСЕГО НЕОБХОДИМОГО
    ОБСЛУЖИВАНИЯ, РЕМОНТА ИЛИ ИСПРАВЛЕНИЯ.

    Читать умеешь? "Весь риск возлагается на вас", "вы принимаете на себя стоимость необходимого обслуживания или исправления".

     
     
  • 9.28, cmp (ok), 14:39, 10/05/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > только в пределах гарантийного

    http://www.mercedes-benz.ru/content/russia/mpc/mpc_russia_website/ru/home_mpc

    Гарантийное и [b]послегарантийное[/b] обслуживание не только выгодно ограждает от груза забот и проблем владельца автомобиля, но и оправдывает его первоначальные вложения.

    Лень ковырять, но европах на машины начала прошлого века можно купить оригинальные запчасти на заводе изготовителе.

    Сравнивать автопром и ИТ не совсем корректно, в ИТ нет факта износа, по крайней мере такого как у ДВС. Но даже с учетом этого, с учетом отсутствия транспортной составляющей на доставку запчастей (патчей), эти "люди" берут деньги.

    Наверное, правильно сравнивать с самолетостроением. Упал самолет, весь модельный ряд в ангар до выяснения. Гарантия?. Неет, самолет будет летать пока его починка будет дешевле покупки нового, а самолет стоит как самолет, крыло дешевле приварить новое, если старое сгнило, и ведь летают и 40ка летние развалюхи, и не падают. Может потому, что законодательство жестко регламентирует, потому что кровью писано, а не писульки на туалетной бумаге, где от всех последствий производитель себя освобождает, самолеты тоже математически не просчитаны и 100% гарантии нет, однако же авиастроение не последняя отрасль.

    А цисковцы просто му..ки, и пользователей за скот считают, который и так схавает, ну.. приятного аппетита.

     
  • 5.23, freehck (ok), 13:35, 10/05/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    > Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

    Логика просто бомба: чем хуже разработчика наймёшь, тем больше бабла срубишь.

     
     
  • 6.25, Аноним (-), 14:10, 10/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Конкуренция не позволит. А так да, ты прав.

    Аналогично в других областях. Напр. непрофессиональный врач может лечить больного годами пока тот не умрёт. Или не поймёт что нужно найти другого врача.

     
     
  • 7.27, 1 (??), 14:38, 10/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Может этот врач познал дзен ?
    А непрофессионал убил бы больного за месяц.
     
     
  • 8.30, Аноним (-), 14:47, 10/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Как шутят хирурги: у одного 2-3 неудачных операции в месяц, а у другого 2-3 удачные.
     
  • 5.32, ram_scan (?), 16:57, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > Чтобы патч написать нужно потратить время разработчика. Это стоит денег.

    Я когда оборудование покупал то таких дыр не заказывал. И это не мои половые трудности что для того чтобы их заделывать вендору надо какие-то деньги тратить еще.

    Если вы купите матерую дверь с замком под гарантии "все супир", и назавтра выясните что он открывается отверткой, то вы вправе потребовать чтобы вендор вам его исправил бесплатно, или вернул деньги и пускай забирает свой шрот обратно.

    Совершенно прямая аналогия.

     
     
  • 6.35, нах (?), 18:09, 10/05/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Совершенно прямая аналогия.

    "все аналогии сосут", но эта - совершенно кривая.
    Вы не дверь купили, а технологический шкаф - с кучей крепежа (чтоб ураганом с мачты не сорвало), климатической установкой в двери, системой влагозащиты и т д.
    Теперь выясняется, что замок на двери, ну надо же, в принципе могут взломать - ЦРУ растеряло описание, по которому отмычку изготовит любой слесарь (что шкафы эти чаще всего воруют вместе с куском стойки, к которой были прикручены, и всем содержимым, среди которого самое дорогое - та самая дверь, вы, в силу слабого знания предмета, вообще не в курсе).

    кстати, по таким багам, обычно, можно получить поддержку и без контракта - если ты достаточно убедительно рассказываешь TAC, как именно ты так криво спроектировал сеть, что у тебя телнет торчит на улицу. Серийник, учтите, проверят.

     
  • 4.40, Аноним (-), 12:28, 11/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    пофиксите мне LG P950... там до сих пор 4.4.2 и куча дыр..
     
  • 3.15, Гость (??), 12:16, 10/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?

    Список устройств назвать можешь или "работодатель" еще не ознакомил?

     
     
  • 4.41, Аноним (-), 12:29, 11/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >> с роутерами или Андроид-телефонами, когда прошлогодняя модель уже не поддерживается?
    > Список устройств назвать можешь или "работодатель" еще не ознакомил?

    ASUS zenphone 2. дальше перечислить ?

     
  • 2.21, нах (?), 13:28, 10/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    чувак, ты не в теме - совсем.
    1. никакая "гарантия" не дает тебе права скачивать прошивки с цискокома. Ни задаром, ни за деньги. Гарантия - на сборку и компоненты (и она там такая унылая, что не знаю, кто ей вообще пользуется - из серии "два месяца с момента прихода сдохшей железки на наш склад в Штатах, за твой счет и с твоей растаможкой" - тебе она вообще еще нужна будет?)
    2. это право дается на любую железку, на которую у тебя открыт саппорт-контракт. Бесплатно.
    Сам контракт - от стольника на офисную херню до 10-20% цены на новые-модные железяки ценой дороже самолета, но, на минуточку, он включает замену железки на месте, если вдруг что-то всерьез отвалилось, и разбирательство с твоими конкретными глюками и багами вполне живым цискоиндусом (прошивку, кстати, бывает что и вовсе под тебя, любимого, собирают). Если оно тебе не надо - ты просто зачем-то приперся в салон по продаже лексусов, имея целью возить дерьмо от дачи до огорода. Тебе в садовый магазин, за тачкой.

    правда, как обычно "есть нюанс"... но тебе оно явно никогда в жизни не встретится.

    P.S. хоть какая-то польза с ЦРУ...

     
  • 2.33, Admin (??), 17:26, 10/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Шикарный троллинг про подписку "Мудрая домохозяйка".
     
  • 1.4, fi (ok), 10:02, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]  
  • –1 +/
    Трудно назвать уязвимость "критическая" - telnet давно ограничен для доступа служебной сетью, где все знают пароль от enable :)


    зы. вот в свое время, когда утек "инженерный" пароль, а 23порт листелся для всех - вот было весело - traceroute и все киски твои :D

     
     
  • 2.43, фоменковщина детектед (?), 16:43, 11/05/2017 [^] [ответить]    [к модератору]  
  • +/
    ну-ка, ну-ка...  это когда на _циски_ утекал инженерный пароль?
     
     
  • 3.44, Led (ok), 21:10, 11/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > ну-ка, ну-ка...  это когда на _циски_ утекал инженерный пароль?

    С вами, цискофилами, разговор короткий: сначала деньги (много) - потом вопросы.

     
  • 1.5, Аноним (-), 10:06, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]  
  • +/
    "Информация об уязвимости была выявлена в ходе разбора мартовской утечки документов ЦРУ." - не уязвимость устранили, а закрыди бекдор, пишите правильно.
     
     
  • 2.6, A.Stahl (ok), 10:09, 10/05/2017 [^] [ответить]    [к модератору]  
  • +11 +/
    Не закрыли бекдор, а изменили условия его активации. Пишите правильно.
     
  • 1.8, Сергей (??), 10:32, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]  
  • –3 +/
    А что, в этих моделях циски только телнет был?
     
     
  • 2.38, анонимм (?), 00:04, 11/05/2017 [^] [ответить]    [к модератору]  
  • +/
    телнет во всех есть, а вот для ssh нужен IOS с шифрованием.
     
  • 1.9, Аноним (-), 10:56, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]  
  • +3 +/
    АНБ попрсило обновить бэкдор для продолжения совместоного контракта по глобальному нанесению ущерба.
     
  • 1.10, 1 (??), 11:10, 10/05/2017 [ответить] [показать ветку] [····]    [к модератору]  
  • –2 +/
    дайте эксплойт
     
     
  • 2.34, A.Stahl (ok), 18:08, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    А волшебное слово где?
     
     
  • 3.36, EuPhobos (ok), 21:42, 10/05/2017 [^] [ответить]    [к модератору]  
  • +/
    > А волшебное слово где?

    sudo !! ему

     
     
  • 4.42, Аноним (-), 16:16, 11/05/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    убунтёнок без капабилитесов
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor