Интересно узнать, что люди думают по этому поводу.

Интересно узнать, что люди думают по этому поводу., wifiman

tryingtecnology

Guest

01.02.2024 22:19:00

Всем привет, просто "концептуальное" размышление с точки зрения безопасности. Очевидно, когда какое-то оборудование достигает конца срока поддержки (EOL или EOSL), это влечёт за собой риски безопасности из-за отсутствия обновлений и патчей. Но, как мне кажется, ситуация с роутерами/шлюзами уникальна и не сравнима, например, с ноутбуком, который постоянно подключен к интернету и открыт на множество портов и сокетов.

К примеру, пресловутый UI USG 3P уже на EOSL — звучит страшновато, но на самом деле он может нормально работать как роутер или шлюз безопасности, если снаружи невозможно зайти в ADMIN UI. При этом, cloudkey может дать доступ в интернет через вход в UI портал, но там стоит MFA, так что насколько это вообще опасно — иметь EOSL USG 3P в сети?

Представим, что конечные устройства сделаны максимально защищёнными, их вообще никогда не взломают, и локальный доступ к контроллеру недоступен в той же сети, где находятся эти устройства. Тогда есть ли вообще риск? DHCP, NAT и прочие вещи продолжают работать как надо.

gregorio

Guest

28.02.2024 01:22:00

Все новые версии прошивки требуют смены стандартного пароля, а совсем недавно ужесточили требования к сложности пароля. ПРИМЕЧАНИЕ — похоже, что у серии устройств Edge до сих пор есть уязвимость из-за плохо написанных процедур смены пароля, которые позволяют легко обойти защиту и снова использовать стандартный пароль. Печально.

calhend

Guest

29.02.2024 03:47:00

Меня просто поражают те ухищрения, на которые люди идут, чтобы всё обойти. Никогда бы не подумал, что кто-то станет обновлять страницу смены пароля, чтобы не менять пароль, и тем более вводить тот же самый пароль снова. ХА-ХА-ХА!

calhend

Guest

29.02.2024 03:45:00

Небольшое дополнение к разговору про требование смены пароля и возможность его обхода... Пользователи, которых просят сменить пароль, но которые при этом используют тот же самый — это, честно говоря, печально. К сожалению, обвинять систему в том, что она не исправляет человеческое поведение, часто становится привычкой. Да, плохо, что пользователи вводят «ubnt», когда их просят сменить пароль с «ubnt», но я больше виню в этом самих пользователей, а не администраторов или производителей, потому что эти же люди будут так же халатно относиться к паролям и в других приложениях. По моему мнению, Ubiquiti виноват всего на 5% — кто-то может с этим не согласиться и увеличить или уменьшить эту долю, ведь лично я никогда после начальной настройки не использовал пароли по умолчанию, а всегда ставил что-то посильнее. И к тому же я не занимаюсь этим так долго, как некоторые здесь. В конце концов, у каждого есть своё мнение, и здорово обсудить это, чтобы люди могли познакомиться с разными точками зрения.
Удачи!

NeilM-KCC

Guest

28.02.2024 00:58:00

Да, согласен. И, если честно по отношению к Ubiquiti, в этот раз я их особо не виню за уязвимость в Moobot (по крайней мере, не полностью*) — я просто приводил статью для информации. На самом деле, Moobot почти не является какой-то уязвимостью, когда админ — полный идиот и подключает публично доступное устройство к интернету с настройками по умолчанию. Рано или поздно любой, от новичков-сценаристов до киберпреступников государств, это обнаружит и наиграется с этим как следует. Организация, отвечающая за эти устройства, честно говоря, заслуживает все проблемы, которые сами себе создали из-за своей некомпетентности. Никакого сочувствия. Но нет, это не вина Ubiquiti.* *Хотя, возможно, Ubiquiti стоит ввести политику безопасности, которая *ОБЯЗЫВАЕТ* менять стандартные пароли при первом запуске или даже при обновлении прошивки (если они еще не сделали это для новых устройств — не помню точно!). Это могло бы помочь предотвратить в будущем, чтобы такие идиоты не подставлялись так легко.

calhend

Guest

27.02.2024 22:22:00

Да, @NeilM-KCC, это действительно плохо, но так получилось из-за халатности самих владельцев устройств. Безопасность — это ответственность каждого, но всё чаще люди на это просто забивают. Посмотрите, как постоянно атакуют все законы о конфиденциальности и шифровании. Люди перестали это замечать, думая, что это ответственность кого-то другого. Удачи!

waterside

Guest

20.02.2024 01:06:00

Moobot действительно является вредоносным ПО, но оно не использовало никаких уязвимостей. Злоумышленники устанавливали это ПО на устройства, используя стандартные известные учетные данные, которые так и не были изменены или удалены. У вас может быть самое защищённое устройство в мире, моментально обновляющееся при обнаружении уязвимости, но если оставить стандартное имя пользователя и пароль открытыми в интернете, вся эта безопасность теряет смысл.

NeilM-KCC

Guest

20.02.2024 00:33:00

Вот еще один (но другой) — Moobot, который конкретно атакует старое оборудование Ubiquiti (EdgeOS), вырубленный за последние несколько дней, судя по всему, на этот раз с российскими корнями (якобы). Похоже, это самый подходящий топик для всех, кому интересно. Судя по всему, «Moobot» был вычеркнут из поиска по форуму — теперь по этому слову вообще ничего не находится! 🤣

RobbieH

Guest

28.02.2024 17:35:00

https://pages.nist.gov/800-63-3/sp800-63b.html При обработке запросов на установку и изменение запомненных секретов проверяющие должны сравнивать предполагаемые секреты со списком, содержащим значения, которые известны как часто используемые, ожидаемые или скомпрометированные. Например, в список могут входить, но не ограничиваются: пароли, полученные из предыдущих утечек; слова из словаря; повторяющиеся или последовательные символы (например, «aaaaaa», «1234abcd»); слова, связанные с контекстом, такие как название сервиса, имя пользователя и их производные. Если выбранный секрет найден в списке, CSP или проверяющий должны уведомить пользователя о необходимости выбрать другой секрет, указать причину отклонения и потребовать выбрать другое значение. Проверяющие также должны предлагать пользователю помощь, например, индикатор надежности пароля [Meters], чтобы помочь выбрать надежный запомненный секрет. Это особенно важно после отклонения пароля из вышеуказанного списка, так как предотвращает простую модификацию слабых паролей из списка [Blacklists].

gregorio Guest	#10 28.02.2024 17:26:00 Это просто сумасшествие. Зачем вообще навязывать изменения, если не собираются довести их до конца? А я-то думал, что только инженеры Unifi — единственные идиоты в UI. Спасибо за подробности.

NeilM-KCC Guest	#11 28.02.2024 17:26:00 Да, согласно @Vincent_Ting, вот так.

gregorio Guest	#12 28.02.2024 17:24:00 Серьёзно? Это просто абсурд.

NeilM-KCC

Guest

#13

28.02.2024 05:11:00

Похоже, согласно предыдущему сообщению в вашей ссылке, в диалоге «смена пароля» можно ввести *стандартный* пароль ubnt. То есть: эффективность равна нулю. Зачем тогда вообще стараться? 😢 Иисусе Христе. 🤦‍♂️

waterside

Guest

#14

28.02.2024 02:31:00

Для справки, мой отчёт о слабой реализации нового требования по смене пароля в версии 2.0.9hf7 здесь. Я помню ещё один пост от кого-то другого, но ссылки под рукой нет. Как я уже говорил, очень грустно, что производителям приходится внедрять функции, чтобы пользователи сами себе не стреляли в ногу, но такова реальность. 😔 Такие сервисы, как Shodan, обычно очень быстро находят устройства с включёнными стандартными учётными данными и не заставляют себя долго ждать с их взломом. Установка ботов — один из самых распространённых случаев, потому что это оставляет «черный ход» для множества разных целей.

Ещё кое-что: после установки бота стандартные политики, основанные на интерфейсах, не позволяют ограничить трафик, исходящий с маршрутизатора. То есть бот может спокойно связаться со своим управляющим сервером, загрузить полезную нагрузку и заниматься вредоносной деятельностью, ни разу не столкнувшись с правилом файрвола. Зональная конфигурация, напротив, даёт возможность ограничивать исходящий с маршрутизатора трафик, если её специально настроить.

NeilM-KCC

Guest

#15

28.02.2024 01:53:00

Если это так, то ситуация совсем не радует. Вообще. Но, с другой стороны, это не удивительно — показывать окно «сменить пароль», которое не обязательно к выполнению и можно легко проигнорировать, может создать видимость серьёзного отношения к безопасности, но на практике это не решает проблему, если это окно можно просто закрыть или пропустить. В конце концов, вина всё равно лежит на пользователях, если они продолжают пользоваться стандартными учётными данными, но и продавцу не очень помогает, когда он сам не относится к безопасности серьёзно — они (продавцы) могли бы (и должны) как-то бороться с человеческой глупостью. Судя по твоему описанию, похоже, что Ubiquiti сделали это кое-как. Если смена пароля по умолчанию не является обязательной, то я полностью ожидаю, что подобные инциденты будут продолжаться с оборудованием Ubiquiti, хотя этого можно (и нужно) было избежать. Всё ещё нет никакого сочувствия к конечным пользователям, но и к Ubiquiti тоже не будет, если из-за этого у них будет ещё больше плохой репутации.

waterside

Guest

#16

28.02.2024 01:40:00

Отчасти, еле-еле. На самом деле это просто одноразовая попытка заставить пользователя сменить стандартные учётные данные. Это касается только использования GUI, и обойти это очень просто, даже случайно. Например, достаточно просто уйти на другую страницу и вернуться обратно — тогда стандартные учётные данные сохраняются, и система больше не будет пытаться принудительно менять пароль. Если я правильно помню, были сообщения, что нажать Escape закроет диалоговое окно, и оно больше не появится, оставляя стандартные данные без изменений.

NeilM-KCC Guest	#17 28.02.2024 01:22:00 👍

Читают тему (гостей: 1)