Все новости от 2 июля 2001 г. Ошибка в маршрутизаторах Cisco угрожает безопасности Сети
ЛОНДОН — Производитель сетевой аппаратуры компания Cisco Systems и Координационный центр организации Computer Emergency Response Team (CERT) предупредили о наличии в маршрутизаторах Cisco ошибки, которая позволяет хакерам нарушать интернет-трафик и перехватывать информацию.
Ошибка, обнаруженная в четверг, позволяет злоумышленникам получить полный контроль «практически над любым» маршрутизатором и коммутатором Cisco, управляемым операционной системой IOS. «Атакующий может прочесть или изменить конфигурацию любого устройства и получить полный контроль над ним», — говорится в распространенном CERT предупреждении.
Представители Cisco объяснили, что причиной лазейки стала ошибка в ПО встроенного в маршрутизаторы веб-сервера, который позволяет администраторам дистанционно управлять устройствами через интернет. Воспользовавшись этой ошибкой, можно обойти процесс аутентификации, просто указав особый URL, и маршрутизатор начнет выполнять команды — для этого вовсе не обязательно быть компьютерным гением.
Cisco рекомендует отключить встроенный веб-сервер. Компания предлагает апгрейд для своего ПО и готовит устраняющую проблему «заплатку», которая будет опубликована на ее веб-сайте. Cisco утверждает, что никаких сообщений о том, что кто-то действительно воспользовался этой лазейкой, не поступало. Впервые о ней сообщили независимые пользователи. «Заказчики не жаловались нам на активное использование этих уязвимых мест, — заявил представитель Cisco в интервью по e-mail. — Ошибки уже устранены или устраняются, а заказчики получили наши рекомендации».
|
|
| vIv 2 Jul 2001 5:03 PM |
а вот это уже... мнда-с! |
|
| а вот как это делается! 2 Jul 2001 6:17 PM |
http://www.xakep.ru/post/12938/default.asp?atype=empty&flash=0 |
|
| KUK 3 Jul 2001 3:16 AM |
Головой думать надо! Умный админ никогда не станет лишний раз грузить свою циску лишними процессами в памяти, напр. web-сервер. И вообще, зачем этот web-сервер нужен? |
|
| stone 3 Jul 2001 3:24 AM |
2KUK а хрен его знает я его зразу поотключал |
|
| Vead - vladi_zmagalcom.com 3 Jul 2001 3:41 AM |
Сколько лет ставлю Киски, а первый раз слышу, что кто-то использует этот сервис. В свичах на локалке с фиктивными адресами - еще туда-сюда. НО РАУТЕР?!!!!!!!!!!!! Это же азбука! Первая команда в конфиг режиме: NO SERVICE TCP-SMALL-SERVERS, NO SERVICE UDP-SMALL-SERVERS |
|
| Egres 3 Jul 2001 7:09 AM |
KUK: что б через Cisco Works устройства конфигурить, или удаленно.... Всяко отключать его надо, че друдно через консоль команды набирать??? |
|
| Igor 3 Jul 2001 9:57 AM |
Интересно, господа, сколько у вас Cisco на нос? И как удаленны они от ваших рабочих мест?
|
|
| AlexK - alexuland.com 3 Jul 2001 11:09 AM |
To Igor: У меня их 15. Начиная с 3640 и заканчивая 805-ми. Через консоль гораздо удобнее. |
|
| s 3 Jul 2001 12:06 PM |
но это если http включен. у нас все выключено. самый прикол не в этом, а в том, чтобы получить security update нужно быть зарегистрированным потребителем, т.е. купить поддержку вот уроды! ((((( |
|
| cepera 3 Jul 2001 12:33 PM |
уписатся можно! кажется этой дыре уже 5 лет в обед! посмотреть бы на того, кто конфигурить через http. |
|
| Yury 3 Jul 2001 2:21 PM |
Egres & AlexK: Что Вы подразумеваете под консолью: консолый вход в Cisco или командную строку? Если вход, то это возможно только локально, если строку, то точнее указывать протокол через который конфигурите (например, telnet). Что касается, http доступа - его нужно прикрывать. Кроме того не худо бы ставить на конфигурацию роутера access-list'ы. |
|
| Egres 3 Jul 2001 3:03 PM |
2 Yury: ...(например, telnet). ================================================ Ну telnet, telnet.. неужели так не понятно.. =============================================== Кроме того не худо бы ставить на конфигурацию роутера access-list'ы =============================================== Это само собой... а еще лучше IOS с поддержкой Cisco IOS Firewall Future Set.
|
|
| Vead - vladi_zmagalcom.com 5 Jul 2001 3:57 AM |
To Igor: Ну если считать ВСЕ раутеры ВСЕХ клиентов, которых мы обслуживаем, то порядка 150 если не больше и разбросаны они по миру. Модельная гамма от 760 и далее со всеми остановками и модификациями. Что касается удаленного конфигурирования или отладки,то есть такая штука - порт AUX - тихо-тихо по модемчику и нет затрат на дорогие авиабилеты и т.д. Кроме того одна из прелестей CISCO - один раз настроил и на долгое время забыл, только НЕ ЗАБУДЬ СОХРАНИТЬ У СЕБЯ В БАЗЕ ДАННЫХ ЕГО КОНФИГУРАЦИЮ И ИМИДЖ IOS. Очень помогает сократить время восстановления в случае пожара или кражи (такое бывало, а вот выход из строя по тех. причинам был всего раза три) 2 Yury: Ну, честно говоря, раутер без Access lists, это для Ваньки Пупкина, чтобы вывести в интернет три с половиной компа в загот. конторе "Рога и Копыта" 2 Egres: А еще лучше CISCO PIX Firewall, правда далеко не все могут себе это позволить. 2 s: Уважаемый s! Видимо компания CISCO, как и многие другие, придерживается мнения, что железо, софт и СЕРВИС НУЖНО ПОКУПАТЬ. А иначе нам с Вами не на что будет пива попить во время обсуждения проблем с security. Но в данном случае Вы не правы. Чтобы получить апдейт, действительно нужно зарегистрировать официально купленный продукт, и получите Вы его не у CISCO, а у авторизованного ресселлера. А вот апгрейд и поддержку (вплоть до next business day replacement в любой точке мира), т.е. СЕРВИС, НУЖНО ПОКУПАТЬ (все там же).
|
|
| Egres 5 Jul 2001 7:27 AM |
Vead: Ага, есть такое дело, PIX, всмысле... Токма он сеть защищает, а граничный маршрутизатор сам о себе позаботиться должен. |
|
|