• Взломали канал в Telegram. Что делать?

    К сожалению, приходится констатировать факт того, что вчера (21.03.2022) был взломан канал сообщества IT-KB: 🚷https://t.me/ITKBnews🚷! Большая просьба уведомить своих коллег по ИТ, чтобы пресечь распространение дезинформации.

    На текущий момент на старом канале хакерами выложена заведомо ложная информация о переводе денежных средств на сторонний номер. Прошу НИКОМУ и НИЧЕГО не переводить!

    В настоящее время создан НОВЫЙ актуальный Telegram канал ✅ https://t.me/ITKB_channel с действующим администратором ✅ https://t.me/Eugene_Leitan. Telegram канал https://t.me/ITKB_channel, созданный 21.03.2022, является источником знаний по тематикам: Windows, Linux, DevOps, Security, Cloud (Azure, AWS, Google), Network, programming (python, PowerShell), Project (Agile, Scrum, Kanban) с возможностью стать счастливчиком бесплатных билетов на различные онлайн мероприятия (например "Saint HighLoad 2021" или DevOpsConf 2021). Также доступны новый канал @ITKB_Archive - библиотека (книги, курсы, ИТ литература) и @ITKB_chatik - ламповый чатик сообщества IT-KB.

    🛠Ведутся восстановительные работы по переносу записей со старого канала на новый https://t.me/ITKB_channel!🛠 Созданы обращения в техническую поддержку Telegram.

    Прошу подписываться только на новый канал https://t.me/ITKB_channel.

  • Сканирование сети на предмет выявления модулей управления ИБП APC уязвимых к Ripple20

    APC Network Management Cards and Ripple20В прошлом году компанией JSOF была публично раскрыта информация о целом наборе уязвимостей, корни которых уходят в древнюю библиотеку компании Treck, реализующую функции стека протоколов TCP/IP. Эту библиотеку на протяжении многих лет использовали разные производители аппаратного обеспечения для обеспечения работы TCP/IP во встроенном микрокоде firmware на множестве разных типов устройств. Данный пакет уязвимостей получил общее название Ripple20.

    Уязвимости, входящие в состав Ripple20, имеют разные уровни критичности и среди них есть некоторые опасные уязвимости, позволяющие удалённо вызвать отказ в обслуживании или даже получать полный доступ над устройством со всеми вытекающими последствиями.

    Данная проблема была освещена на множестве интернет-ресурсов, связанных с темой информационной безопасности. Вот некоторые из них:

    Часть вендоров на протяжении нескольких месяцев после огласки Ripple20 выпустили обновления микрокода для своих продуктов, в которых закрываются данные уязвимости. Однако некоторые производители намеренно отказались от обновления микрокода некоторых своих продуктов, снятых с текущей поддержки. Таким образом, все уязвимые устройства, не имеющие обновления, но по прежнему эксплуатируемые в рамках локальных/глобальных сетей, вошли в группу повышенных рисков нарушения режима ИБ.

    Проблема с уязвимостями Ripple20 заключается в том, что работа по снижению рисков в рамках больших корпоративных сетей с множеством устройств разных производителей и моделей, требует комплексного подхода с применением разных методик защиты, таких как обновление микрокода, ужесточение правил меж-узлового взаимодействия на уровне сети, использование систем обнаружения сетевых аномалий и т.д.

    Применительно к вопросу обновления микрокода на эксплуатируемых сетевых устройствах, требуется отдельное планирование и немалый объём работы по устройствам каждого отдельно взятого производителя и модели. В данной заметке мы рассмотрим вариант сбора информации относительно модулей управления источников бесперебойного питания (ИБП) марки APC ("APC by Schneider Electric"), которые широко используются для защиты электропитания серверного и сетевого оборудования.

    Читать далее...

  • Как зашифровать пароли в PowerShell

    How to Encrypt Passwords in PowerShellДанный материал является переводом оригинальной статьи "Altaro : Luke Orellana : How to Encrypt Passwords in PowerShell".

    С точки зрения компании - MSP (Managed Service Provider), управление паролями в скриптах PowerShell может быть сложной задачей. Всегда есть риск, что кто-то может найти пароль, просто получив его из кода. Тем не менее, существуют определенные сценарии, которые требуют хранить где-то пароль и ссылаться на него в скрипте для аутентификации. Например, допустим, вам необходимо регулярно запускать сценарий для группы серверов, не подключенных к домену, или вы хотите разрешить пользователям запускать определенную задачу с повышенными правами, но не хотите давать им учетные данные с повышенными правами. Существует несколько решений, связанных с этим, но следует помнить про правильный баланс между безопасностью и доступностью, и требуется определенное понимание того, является ли решение достаточно безопасным, чтобы его можно было принять. К счастью, с PowerShell есть несколько хитростей, которые мы можем использовать, чтобы скрыть наши пароли, и хотя они не являются на 100% безопасными, это все равно снижает риск.

    Читать далее...

  • Уязвимость CallStranger (CVE-2020-12695) в Universal Plug and Play (UPnP) и PowerShell скрипт для сканирования сети по протоколу SSDP

    Vulnerability CallStranger CVE-2020-12695 in SSDP UPnPНа прошлой неделе в Российском сегменте Интернета снова заговорили о проблемах безопасности в технологии Universal Plug and Play (UPnP). Например, можно ознакомится со статьями Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети и Уязвимость UPnP, позволяющая сканировать сети и организовывать DDoS-атаки, признана официально. В разных источниках проблемы безопасности UPnP рассматриваются в большей степени в контексте устройств и ПО, подключенных к глобальной сети Интернет. Однако, хочется отметить тот факт, что неконтролируемые администраторами технологии UPnP несут в себе определённые риски и в рамках локальных корпоративных сетей. В этой статье мы рассмотрим простейший пример возможности эксплуатации уязвимости UPnP в локальной сети и поговорим о том, как можно выявить уязвимые устройства в сети для последующей их защиты.

    Читать далее...

  • Настройка брандмауэров в OC Apple macOS 10

    imageГрафическая оболочка брандмауэра в операционной системе Apple macOS у любого более или менее подготовленного пользователя вызывает вопросы из-за отсутствия возможности тонкой настройки собственных правил. Она как "рубильник", имеющий лишь два пограничных состояния "ВКЛ" и "ВЫКЛ". О том, что с этим делать и как настроить собственные правила, например, открывающие тот или иной порт в macOS, мы и поговорим в данной заметке.

    Читать далее...

  • СХД HP MSA P2000 G3 Modular Smart Array и учётные данные по умолчанию

    HP MSA P2000 G3 Modular Smart Array and hidden admin with default passwordВ конфигурации по умолчанию у контроллеров управления системы хранения данных HP MSA P2000 G3 имеется несколько встроенных учётных записей. Пароли этих учётных записей любой вменяемый администратор сменит при первой же настройке контроллеров управления. Однако, даже много лет проработав с подобной железкой, и предполагая, что в этой области нет никаких "белых пятен", в один прекрасный день можно открыть для себя совершенно удивительные и неизвестные ранее подробности, от которых на голове могут зашевелиться волосы.

    Читать далее...

  • Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием

    August Windows Updates may cause problemsПоявившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем. Читать далее...

  • Базовая настройка брандмауэра Debian GNU/Linux 10 Buster с помощью nftables

    nftables firewall in Debian BusterСогласно документа в Debian Wiki фреймворк nftables представляет собой механизм, используемый ОС Debian 10 Buster по умолчанию для управления встроенного в ядро Linux брандмауэра Netfilter. Nftables может рассматриваться, как современная, более продвинутая и функциональная замена таким инструментам, как iptables, ip6tables, arptables и ebtables. Читать далее...

  • Сканируем сеть на предмет наличия уязвимости CVE-2019-0708 (BlueKeep) с помощью модуля Metasploit и утилиты rdpscan в ОС Kali Linux 2019.2

    Network Scan with Metasploit in Kali LinuxРанее мы писали о выпущенных обновлениях для закрытия уязвимости CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability. Развёртывание этих обновлений не вызывает само по себе какой-то сложности. Однако, учитывая серьёзность уязвимости, будет совсем не лишним провести дополнительное сканирование всех своих сетей на предмет выявления всё ещё уязвимых хостов. Для проведения подобных проверок есть разные методики и инструменты. В этой заметке мы рассмотрим то, как выполнить сканирование сетей с помощью scanner-модуля из состава комплекса Metasploit, поставляемого в специальном дистрибутиве ОС Kali Linux 2019.2. Помимо этого, в этой же ОС, мы выполним сборку и использование дополнительной утилиты сканирования rdpscan.

    Читать далее...