В рамках разбора ситуации с большим количеством запросов к DNS серверу в локальной сети, помимо выявления основного источника "шума", обратили внимание на один из второстепенных источников, который показался нам странным. Большое количество запросов к DNS серверу прилетало от коммутаторов начального уровня серии Cisco Small Business. Например от коммутатора SG350X-48MP 48-Port Gigabit PoE Stackable Managed Switch местный DNS сервер за пол часа наблюдений словил около 2000 запросов на разрешение разных имён. При этом практически весь этот трафик содержал запросы на разрешение имён как публичных, так и внутренних NTP серверов.
-
Коммутаторы Cisco Small Business и тысячи запросов к DNS серверу
-
Уязвимость CallStranger (CVE-2020-12695) в Universal Plug and Play (UPnP) и PowerShell скрипт для сканирования сети по протоколу SSDP
На прошлой неделе в Российском сегменте Интернета снова заговорили о проблемах безопасности в технологии Universal Plug and Play (UPnP). Например, можно ознакомится со статьями Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети и Уязвимость UPnP, позволяющая сканировать сети и организовывать DDoS-атаки, признана официально. В разных источниках проблемы безопасности UPnP рассматриваются в большей степени в контексте устройств и ПО, подключенных к глобальной сети Интернет. Однако, хочется отметить тот факт, что неконтролируемые администраторами технологии UPnP несут в себе определённые риски и в рамках локальных корпоративных сетей. В этой статье мы рассмотрим простейший пример возможности эксплуатации уязвимости UPnP в локальной сети и поговорим о том, как можно выявить уязвимые устройства в сети для последующей их защиты.