The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tenda и NETGEAR"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tenda и NETGEAR"  +/
Сообщение от opennews (??), 18-Сен-23, 22:11 
Несколько опасных уязвимостей в сетевых устройствах, позволяющих выполнить свой код или получить управляющий доступ без прохождения аутентификации:...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59773

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +6 +/
Сообщение от Аноним (1), 18-Сен-23, 22:11 
> 95 уязвимостей

это рекорд

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от ryoken (ok), 19-Сен-23, 07:47 
D-Link...
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от BlackRot (ok), 19-Сен-23, 08:38 
Дно линк же
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от ryoken (ok), 19-Сен-23, 09:01 
> Дно линк же

В данном случае точнее будет ДыркоЛинк или попросту - дуршлаг.


Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +5 +/
Сообщение от Аноним (7), 18-Сен-23, 22:30 
> указание в путях ключевых слов из белого списка, наличие которых приводит к выполнению запроса без аутентификации

Это красиво...

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +5 +/
Сообщение от Аноним (-), 18-Сен-23, 22:31 
Походу вебморды безопасно делать - ну вообще не умеют. Что за позор - у всех без авторизации даже? Гребаный стыд, неужели нельзя при таких сокращениях вместо сотен тысяч уволеных нанять пяток разумных людей? Ну раз то за историю человечества можно подраспереться и вебинтерфейс нормально сделать? Если дорого - ну скинулись бы на всю ораву, на тиму из пятка кодеров. Небось не обанкротятся с такого, а?!

А то то system() то отсустствие проверок что тушка авторизована. Это просто какой-то позор!

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +11 +/
Сообщение от Аноним (11), 18-Сен-23, 22:44 
Уже сделали, называется OpenWRT. Просто в следующий раз при покупке девайса сверяйся со списком и обращай внимание на методы установки.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –7 +/
Сообщение от Аноним (-), 19-Сен-23, 04:39 
> Уже сделали, называется OpenWRT. Просто в следующий раз при покупке девайса
> сверяйся со списком и обращай внимание на методы установки.

А ну его, изгадили все. Блоатварь жуткая, на половину роутеров не лезет, на не очень новых браузерах типа старых андроидов кривое и полурабочее, сервисы в систему запиливать жутко мучительно а генерация конфигов программ из UCI - они Поттеринга уделали, с отрывом.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +5 +/
Сообщение от Аноним (49), 19-Сен-23, 06:23 
Не лезет только на совсем уж дохлые роутеры, которые и использовать на текущий момент нету смысла (если важна скорость).
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Аноним (-), 19-Сен-23, 14:46 
Ну да, ну да, докупите хардвар, обновите браузер, блаблабла. Вебманки дорвались до опенврт. И изгадили его, такая печалька. Потому что большую часть места жрет внезапно это самое блоатуси.

А чтоб совсем не скучно - генеряемые конфиги даже вот Поттерингу слабо было. А у этих в результате в системе отрасли все недостатки системды, никаких достоинств, стартует этот позор минуту даже на быстром роутере, так что любое действо требующее ребут (а у них оно требуется даже для автовыбора канала заново чтобы с загаженого региона слезть) это очень заметное прерывание сервиса.

И вот зачем оно такое надо? Даже морда дырлинка на древнем планшете нормально работает - в отличие от этого позора. Это теперь что, покупать новые планшеты для того чтобы поменеджить вафельницу? Да вы издеваетесь.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноньимъ (ok), 22-Сен-23, 17:18 
OpnSense ставьте на копеечную машинку.
А "домашний роутер" рогатый в режим точки доступа. И будет счастье.
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от fi (ok), 19-Сен-23, 10:39 
Ха - 3 раза!

в OpenWRT в Luci постоянно встречается system() :DDDD

A авторы прямо говорят - мы делаем для локальной доверенной сети, безопасность "не нужна"

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

116. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (116), 19-Сен-23, 19:35 
Тссс. Не рушьте мир феечкам.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Аноним (12), 18-Сен-23, 22:44 
С такими заявлениями ты первый отправишься на мороз, а вместо тебя наймут двух индусов. Если они будут косячить и не справляться, то... нет, тебя не попросят вернуться. Будут нанимать ещё индусов, до победного.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

98. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (98), 19-Сен-23, 12:19 
только если компанией владеет индус
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от yet another anonymous (?), 18-Сен-23, 22:46 
"web-морда" и "относительно надёжная аутентификация" --- это оксюморон. Так что нанимай кого хочешь --- результаты близко лягут.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (14), 18-Сен-23, 22:50 
Ну, во-первых, это удобно. А, во вторых, за безопасность кода разрабам не платят. К тому же, если писать безопасно, то тысячи сотрудников из Пакистана останутся без работы. Да и придётся "сотрудничать" со спецслужбами СГА и внедрять дыры уже намеренно, а это лишние проблемы.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

20. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 18-Сен-23, 23:43 
Хуже всего у жунипера - там дыра такая, что до аутентификации даже дело не доходит.
Второе место - да, у белолистиков.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

50. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от bOOster (ok), 19-Сен-23, 06:41 
Текущая ситуация с роутерами ждет и всех остальных с повсеместным растом и толпой недопрограммистов целиком полагающихся на него.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

88. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от BeLord (ok), 19-Сен-23, 10:23 
Разумные люди занимаются другими вопросами, кодеры тебе не помогут, за кодерами должен стоять человек с системным мышлением и знаниями в области безопасности, а это дорогой специалист, а бизнес никогда не будет платить просто так, вот если ему за нарушение безопасности будут бить по голове, тогда бизнес почешется, а так, будет, как всегда.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

100. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от keydon (ok), 19-Сен-23, 13:26 
> Разумные люди занимаются другими вопросами, кодеры тебе не помогут, за кодерами должен
> стоять человек с системным мышлением и знаниями в области безопасности, а
> это дорогой специалист, а бизнес никогда не будет платить просто так,
> вот если ему за нарушение безопасности будут бить по голове, тогда
> бизнес почешется, а так, будет, как всегда.

Отдел информационной безопасности? Увы, это не работает.

Ответить | Правка | Наверх | Cообщить модератору

104. "Обдел информационной безопасности"  +/
Сообщение от Аноним (104), 19-Сен-23, 13:45 
Если мышку назвать ёжиком - у ней иголки не появятся.
Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (119), 20-Сен-23, 15:16 
> кодеры тебе не помогут, за кодерами должен стоять человек с системным мышлением и знаниями в области безопасности

Моё мнение, что сами кодеры должны заниматся безопасностью своих программ. Но это возможно только если их руководство заинтересовано и готово платить кодерам за безопасность. В конце концов всё сведётся к тому сколько готов заплатить заказчик..., у заказчика денег хватает только на DLink.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

89. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от keydon (ok), 19-Сен-23, 10:37 
Зато не палятся. Вот и сейчас кодеры виноваты.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

120. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от пох. (?), 20-Сен-23, 21:24 
> Походу вебморды безопасно делать - ну вообще не умеют.

умеют, только те кто умели - теперь держат крошечный пицца-ресторанчик без лицензии на алкоголь.

> Гребаный стыд, неужели нельзя при таких сокращениях вместо сотен тысяч уволеных нанять пяток
> разумных людей?

нельзя. На то они и разумные. В дерьме по колено работать - не хотят.

> Ну раз то за историю человечества можно подраспереться и вебинтерфейс нормально сделать?

нельзя. Те кто работают за пайку - никогда ничего хорошего и не сделают. Те кто могут себе позволить просто делать хорошо - хорошо делают пиццу. И у них нет "инвестора", "эффективного менеджмента" и "continuous desintegration"

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

121. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (121), 21-Сен-23, 11:16 
Много десятилетий размышляю почему такое в ИТ.

Фактор только 1.

Как было раньше:
99% рынка заказов в ИТ создавал департамент обороны. Они десятилетия собирали компетенции в сфере ИТ безопасности и смогли очень чётко сформулировать критерии ИБ: "легендарная оранжевая книга и радужная серия книг с разъяснениями к ней". Производители стремились соблюсти критерии заказчика по ИБ.
Государство помогало развитию ИБ.


Сегодня:
При режиме цифрового рабства, властям и корпорашкам не выгодно, чтобы рабы имели доступ к технологиям ИБ. Без ИБ их легче грабить. Законы за разработку технологий ИБ наказывают тюрьмой с конфискацией!
Уничтожен Debian Adamantix
Даже лидеры в ИБ сменили цели:
Было:
https://wiki.gentoo.org/wiki/Project:Hardened
https://wiki.gentoo.org/wiki/Auditing_(project_archive)
Стало:
https://wiki.gentoo.org/wiki/Project:Security
99% рынка заказов в ИТ - розничный потребитель, для которгого критерием есть: удобство/ценник, а не критерии ИБ.
Государство вредит развитию ИБ.

PS
Найди сегодня разработчика софта, программистов которого обучили писать правельный код:
https://wiki.gentoo.org/wiki/Hardened/Introduction_to_Positi...
https://wiki.gentoo.org/wiki/Hardened/Position_Independent_C...
https://wiki.gentoo.org/wiki/Hardened/Textrels_Guide
Пообщайся с разработчиками пишущими видео/аудио кодеки, библиотеки  графических форматов использующих для ускорения всякие инструкции mmx*, sse*, avx* и поучи их писать безопасный код на "C".

Найди сегодня дистр GNU/Linux собраный с правельными опциями безопасности, хотябы:


CFLAGS=".... -Wall -Wformat -Wformat-security -Werror=format-security -Werror=implicit-function-declaration -mcmodel=large -mfunction-return=thunk-inline -D_FORTIFY_SOURCE=3 -fPIE --param ssp-buffer-size=1 -fstack-protector-all -fstack-clash-protection -fexceptions -mcet -fcf-protection -fno-plt -fPIC"

CXXFLAGS=".... ${CFLAGS} -D_GLIBCXX_ASSERTIONS"

FFLAGS="... -fPIE --param ssp-buffer-size=1 -fstack-protector-all -fexceptions -fno-plt -fPIC -D_FORTIFY_SOURCE=2 -DPIC"

Найди сегодня дистр GNU/Linux удовлетворяющий элементарным требованиям С2:
https://www.opennet.dev/openforum/vsluhforumID3/129886.html#309

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (11), 18-Сен-23, 22:44 
Уже сделали, называется OpenWRT. Просто в следующий раз при покупке девайса сверяйся со списком и обращай внимание на методы установки.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Менеджер Антона Алексеевича (?), 18-Сен-23, 22:53 
Не подскажешь, какую версию OpenWRT лучше на Juniper SRX5800 ставить? С другой стороны, в нашей поставке http management service на них и так отключен по умолчанию, авось пронесёт и без OpenWRT.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от МимоПроходил (?), 18-Сен-23, 23:01 
Без http management service конечно лучше, чем с ним.
Но без отлучения от розетки всё равно проламывается (умелыми руками).

Ну и молотком можно все уязвимости починить, если хорошо размахнуться несколько раз...

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (51), 19-Сен-23, 06:46 
Только мне это немного странным кажется - дорого купить бессмысленное железо и за чужой бесплатный труд сделать, чтобы оно работало?
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

57. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (57), 19-Сен-23, 07:52 
>  авось пронесёт и без OpenWRT.

и меня, петька, тоже (ц)


Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

66. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от domov0y (?), 19-Сен-23, 08:51 
Можете на пальцах объяснить как в juniper такого добились? Желательно для идиотов. (пример кода который приведет к такому эффекту)
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

83. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (83), 19-Сен-23, 09:59 
OpenWRT для мальчиков, для мужчин - VyOS!
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

86. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от InuYasha (??), 19-Сен-23, 10:13 
У вас же коммутатор. Для них DentOS: https://www.opennet.dev/opennews/art.shtml?num=59768 (я не пользовался, если что)
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

109. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Аноним (-), 19-Сен-23, 14:54 
> У вас же коммутатор. Для них DentOS: https://www.opennet.dev/opennews/art.shtml?num=59768
> (я не пользовался, если что)

Технически даже многие мыльницы - коммутаторы. Там стоит какой-нибудь чип гигабитного свича. На одном их его портов - проц роутера живет. А ему вланами in и out нарезан с свича, например. Хотя могут и более честно сделать 2 интерфейса у проца, но в любом случае оно к свичу зацеплено и технически являет собой "карманный вариант героя". Единственное почему вон то им не пойдет - для дебиана они все же мелковаты.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (30), 19-Сен-23, 00:57 
А OpenWRT надёжно? У меня пришли обновления пакетов, не вижу теперь кто подключён к роутеру в luci. Это усложняет выдачу статического IP устройствам. В чем может быть проблема? Не пойму.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

54. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Маус (?), 19-Сен-23, 07:24 
В Openwrt нельзя обновлять только пакеты.
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Аноним (62), 19-Сен-23, 08:37 
Еще как можно, кроме ядра
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –2 +/
Сообщение от Аноним (16), 18-Сен-23, 23:01 
Наш выбор MikroTik:
https://mikrotik.com/products
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от МимоПроходил (?), 18-Сен-23, 23:35 
https://thehackernews.com/2023/07/critical-mikrotik-routeros... и так примерно 1-2 раза в год.

При владении методикой фазинга (при наличии головы и правильно растущих руках) вы сможете находить дыры примерно каждые 1-2 дня на экземпляр девайса. Но вот разбираться с этим дальше экономически не выгодно - bugbounty там ничебродский, а продавать налево некомильфо.

В целом, чуть менее этично чем d-link, но безопасность тут не более чем миф.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Аноним (23), 18-Сен-23, 23:49 
Слова типа чуть менее и тут не более выдают в вас эксперта по безопасности уровня опеннет. Посмотрите нашу вакансию?
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (74), 19-Сен-23, 09:10 
> Can people use this to hack my router?
>No, both of these vulnerabilities require admin credentials to exploit.

Продолжайте дальше, очень интересно!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

82. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (82), 19-Сен-23, 09:43 
Там чуть дальше написано, что на версиях routeros, вышедших чуть более чем меньше года назад по-умолчанию у админа был пустой пароль. Правда там ещё по-умолчанию идёт правило, блокирующее доступ к железке не из LAN. Но общий уровень тревожности поднялся!
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (82), 19-Сен-23, 09:25 
В базовой настройке файрвола есть правило "defconf: drop all not coming from LAN" которое делает эту уязвимость чуть менее чем практически бесполезной. Ну или я не понял чего-то, но эксперты по информационной безопасности с опеннета меня сейчас поправят тогда.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

92. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Шаман (??), 19-Сен-23, 10:48 
А при чем тут "эта уязвимость", её ведь уже в любом случае нашли и заткнули.

Другое дело, что уже был пустой пароль у админа и (по утверждению анонима) устройства падают от простого фазинга.
От d-link это отличается только тем что d-link-e сейчас не повезло, а микротик никто не колупал.

Хотя не-повезло ли d-link-у или наоборот (повезло) - тоже вопрос, ибо чем больше дыр нашли, чем меньше осталось. А микторика все впереди, если верить анониму...

Однако, вся безопасность этих девайсов действительно миф - если работать по принципу "поставил/включил и забыл", то вас когда-нибудь ломанут. А если правильно огораживаться и вовремя шевелиться, то и с d-link можно продержаться.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от 1 (??), 19-Сен-23, 13:44 
> "чем больше дыр нашли, чем меньше осталось"

Очень сильное, в корне неверное (в ИТ) утверждение.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Шаман (??), 19-Сен-23, 13:52 
Это не утверждение, а следствие закона математики ;)

Другое дело, что кол-во найденных багов/CVE может никак не коррелировать с их общим/исходным количеством.
Поэтому и относительно малое кол-во документированных CVE у микротика не даёт уверенности в безопасности.
А вот падения от фазинга (если верить анониму) - это очень опасный симптом, хотя и тут есть вероятность что аноним наткнулся на какой-то один баг, который не эксплуатируется, но имеет массу вариантов проявления.

Это всё как-бы очевидно.

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от 1 (??), 19-Сен-23, 16:29 
Каждое исправление привносит свои ашипки.
Так что корреляцией здесь и не пахнет.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –2 +/
Сообщение от Аноним (27), 19-Сен-23, 00:05 
Лучше сначала сюда посмотреть https://openwrt.org/supported_devices?q=Mikrotik&do=search
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

58. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Аноним (57), 19-Сен-23, 07:53 
> Наш выбор MikroTik:
> https://mikrotik.com/products

оно в РФ не поставляется

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

77. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Full Master (?), 19-Сен-23, 09:13 
Контрабандой завозят.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Tron is Whistling (?), 18-Сен-23, 23:38 
Juniper фееричен.
Чо, вот прям в ENV PHPRC прям из GET?
Pacefalm.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Атон (?), 19-Сен-23, 08:29 
Почему бы и нет?  managment любых железок должен делаться из отдельного изолированного VLAN.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +3 +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 08:57 
А, ну то есть пихать в рот всё, что от юзера пришло - это фича и best practice. Давайте вообще пароли уберём, а чо, изолированный влан же.

Изолированный влан - это хорошо, но он почти никогда не изолируется от машин пользователей. Которые могут на себе таскать всякое.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (82), 19-Сен-23, 09:27 
>Изолированный влан - это хорошо, но он почти никогда не изолируется от машин пользователей. Которые могут на себе таскать всякое.

А почему он тогда называется "изолированный"?

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –1 +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 09:30 
Тогда изолируйте его и от машин пользователей. И пусть там в себе варится. Нет доступа - нет проблем.
У меня этих изолированных вланов более одного - группы устройств варятся в собственном соку и доступны только с серверов управления.
Вариант неплохой, но попробуйте начать его реализовывать - и быстро поймёте, что проблем с этим очень много.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от хрю (?), 18-Сен-23, 23:44 
Судя по всему список не полный - tp-link тоже попёрся обновляться. Разрыли глобальные [s]бекдоры[/s] прорехи.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Аноним (23), 18-Сен-23, 23:51 
Жаль, что не все поймут данные обновления ;) Действительно не многим дано оценить эти глобальные бэкдоры ;))
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (62), 19-Сен-23, 08:46 
Пару недель назад AVM (популярнейший производитель в ФРГ) неожиданно выкатил обновлений на всю линейку. Причем даже на те, на которые недавно были плановые обновления. Такого за ними не водилось никогда, обновления выходят редко, постепенно по моделям, с анонсами за полгода. Ходят слухи что дырища в вэбморде всплыла.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

70. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 09:03 
> Пару недель назад AVM (популярнейший производитель*-+ в ФРГ) неожиданно выкатил обновлений

Угу. Есть такое. Догадайтесь, кто обнаружили с этими железками полную задницу в масштабе.
Правда деталей нам пока не дали, да и если дадут - раскрыть я скорее всего не смогу.
Эксплуатабельно или нет - тоже не понятно пока, возможно просто rDoS или не связанный с дырой баг.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 09:04 
Могу сказать только что типовой результат проявления - потеря части конфигурации. Вглухую. Не подмена, просто потеря.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

28. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от YetAnotherOnanym (ok), 19-Сен-23, 00:43 
> Juniper (...) PHP-код

Уж эти-то могли бы интерфейс управления на чём-то поприличнее сделать.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (51), 19-Сен-23, 06:47 
На С? Например, Wt.
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от YetAnotherOnanym (ok), 19-Сен-23, 13:35 
> На С? Например, Wt.

Можно и на си. Тем более, что знание си даёт возможность вместо вызова отдельных программ в субшелле (как это принято у пыхеров) слинковать либы, на которых эти программы построены, и дёргать нужные функции в них.
Но если бы начинать с нуля, я бы посмотрел в сторону lua.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 09:06 
PHP для таких вещей оптимален.

А вот что они под него такого фееричного положили, что оно у них из GET всё суёт в environment - вот это уже интереснее.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

99. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 19-Сен-23, 13:25 
Сам-то по себе пых, может быть и оптимален, но если учитывать не только сам язык, но и сложившуюся практику его использования (в которой считается нормой вызывать утилиты в субшелле с передачей аргументов из запроса), то нуевонафиг.
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 19-Сен-23, 14:37 
Утилиты внезапно вызывают не только в пыхе...
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (30), 19-Сен-23, 00:53 
> в маршрутизаторах NETGEAR RAX30 (CVE-2023-40480, CVE-2023-40479) позволяющие добиться выполнения команд с правами root через отправку специально оформленных данных по DHCP и UPnP. Проблемы вызваны отсутствием проверки внешних данных перед их использованием в числе аргументов функции system().

А это аппаратная или программная ошибка?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (46), 19-Сен-23, 04:52 
> А это аппаратная или программная ошибка?

Это обезьяна с гранатой в роли кодера. Ошибка уровня менеджмента проекта.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от ryoken (ok), 19-Сен-23, 07:51 
Про UPnP давно писали, что штука небезопасная.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

31. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (31), 19-Сен-23, 00:59 
> связанные с отсутствием должной проверки входных данных перед использованием в функциях форматирования строки в CGI-скриптах web-интерфейса

Аж журнал «Хакер» двадцатилетней давности вспомнил, прослезился

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от НеКрасноглазик (?), 19-Сен-23, 04:25 
От чего?
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (51), 19-Сен-23, 06:49 
От судьбы бывшего главреда.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Аноним (46), 19-Сен-23, 04:54 
> Аж журнал «Хакер» двадцатилетней давности вспомнил, прослезился

Судя по новости - не только ты вспомнил, и вот вам результат.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

33. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –3 +/
Сообщение от Аноним (33), 19-Сен-23, 01:47 
Так что ждём когда догодаются автоматически проверять cve базу и создавать под компиляцию openwrt . И на злобу дня добавить ии вычислитель tcpoptimizer вкупе с wpa . Ибо идёт пыль умная которая будет менять форму антенны для поиска лучшего коннекта. В спутниках давно авто наведение есть , а на openwrt даже подбора настроек в режиме простоя нет .Премитив 21 века. Когда боты повсюду. Даж болончик с цыганским золотом не купишь чтоб антену напудрить .
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  –2 +/
Сообщение от Аноним (33), 19-Сен-23, 02:23 
Я конечно не специалист но помнится в третьем варкрафте конфиг для Клавы прямо на сайте собирался одной кнопкой. Что мешает добавить это в openwrt для компиляции прошивки ? Да и двух соединений нет как в китайских встройках, они по 8 умеют для ртр фильмов. Если можно даже по 200кг ии выкачал бы, сейчас это не проблема на своих ресах выкрутить. Ибо у меня уже пару устройств и сидеть с каждым прошивку компилить или настройки постоянно искать ,джем...
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (34), 19-Сен-23, 02:01 
Если говорить про домашние роутеры, то не страшно, ССЗБ если оставляют веб-морду доступной из WAN
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Атон (?), 19-Сен-23, 08:27 
И много ты знаешь домашних роутеров с веб мордой доступной _по_умолчанию_  из WAN?

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (59), 19-Сен-23, 08:27 
И ни одной - в OpenWRT.
Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +3 +/
Сообщение от Аноним (31), 19-Сен-23, 10:10 
Неуловимый Джо.
К тому же не поддерживающий 90% современного железа (да и не с современным всё тоже не очень).
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (59), 19-Сен-23, 08:43 
Все те же компании (и те же государства) в списке бэкдорщиков. Ничего нового.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +2 +/
Сообщение от Тот_ещё_аноним (ok), 19-Сен-23, 08:55 
Очередная победа Ростелеком
Поставляемые населению роутеры - неуязвимы
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от InuYasha (??), 19-Сен-23, 10:19 
Удивился, не увидев в списке cisco. И увидев производственные Жунипёры.
Но дыры реально страшные.
Ответить | Правка | Наверх | Cообщить модератору

115. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 19-Сен-23, 19:34 
Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Аноним (106), 19-Сен-23, 14:28 
Интересно, мой D-LINK DIR300 тоже уязвим? До сих пор работает ведь.
Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +1 +/
Сообщение от Аноним (110), 19-Сен-23, 15:09 
Твой Дир 300 лидер ботнета.
Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от КО (?), 19-Сен-23, 18:23 
Зато мой 40летний ZyXEL уже никому не сдался
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tend..."  +/
Сообщение от Tron is Whistling (?), 20-Сен-23, 08:36 
Это если он под завязку не набит уже.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру