forum.opennet.ru

"Компрометация шлюзов Barracuda ESG, требующая замены оборудования"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Компрометация шлюзов Barracuda ESG, требующая замены оборудо..."	+/–
Сообщение от пох. (?), 12-Июн-23, 00:13
да хз - может избавлялась от неконтролируемых конкурентов, может назло врагам, а может деваться некуда - я уж и не помню, что там штатно в ironport, по-моему чуть ли не sophos был (то есть не свое и платить ему за каждое обновление) Это про кламдрянь, разумеется. К snort вопросов нету, он был уж как минимум не хуже штатной цискиной ids коробки (тоже, разумеется, redhat внутри, но тогда там какой-то унылый собственный трэш крутился) - если ему правила кто-то будет писать. А прикованных индусов у цисок как раз - horde. Но главная идея ironport не антивирус ни разу, а relay reputation network, ну и типовой набор для юзверей (правда феерически неудобный и все к нему писали свои междумордия) чтоб почту не в /dev/null отправлял и ее в конечном итоге можно было как-то извлечь. У этих, видимо, примерно такое же.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Компрометация шлюзов Barracuda ESG, требующая замены оборудования, opennews, 11-Июн-23, 10:28 [смотреть все]

Комиссия спалила их бэкдор и теперь требуют убрать, КО, 11-Июн-23, 10:28 (1) //
- Убрать эту компанию из списка поставщиков, бекдор оказалась слишком аппаратным , Аноним, 11-Июн-23, 10:32 (4) //
  - новое железо с обновленным бекдором , Аноним, 11-Июн-23, 11:08 (14)
  - На самом деле это достаточно просто устроить, имхо если апдейт на фирмвару от х, Аноним, 11-Июн-23, 12:04 (22) //
    - Не всегда Иногда предохранители выжигаются при записи софта для защиты от аппар, anodymus, 11-Июн-23, 14:49 (37)
      - На колодку ставить , Тот_ещё_аноним, 12-Июн-23, 09:01 (86)
      - 1 STM32 F1xx и тому подобные - можно вернуть себе как раз всегда Там лишь 1 , Аноним, 12-Июн-23, 22:47 (114)
    - Intel Boot Guard должен запрещать загрузку вирусных прошивок BIOS UEFI, а они уж, Аноним, 12-Июн-23, 08:00 (83)
  - Не смешно, когда собственные устройства работают против вас Прогресс, а что под, igaiLie7, 11-Июн-23, 23:44 (72) //
    - Вы sci-fi когда-нибудь смотрели Перехват инженерных систем более-менее крупных , Аноним, 12-Июн-23, 22:56 (118)
Всегда знал что эти аппаратные комплексы по защите чего угодно полная туфта , Аноним, 11-Июн-23, 10:31 (2) //
- Чего это вдруг Вот жеж, защитили Прибор защищенный плавким предохранителем усп, пох., 11-Июн-23, 11:10 (15) //
  - Я к тому зачем вообще этой штуке кроме софта, ещё какая-то своя аппаратная конст, Аноним, 11-Июн-23, 12:08 (24) //
    - Я думаю, что всё гораздо проще Перешили биос и поставили флаг защиты от записи , Аноним, 11-Июн-23, 12:23 (27)
      - Еще проще - взяли и отрубили перешивалку Может и ненарочно даже а под rm -f под, пох., 11-Июн-23, 12:38 (30)
        
        Ой, извините, я наверное забыл снять свою конспирологическую шапочку Буду знать, igaiLie7, 11-Июн-23, 23:46 (73)
    - ну типа когда компьютеры были большие - это было неплохим вариантом тот же циск, пох., 11-Июн-23, 12:35 (29)
      - А там ещё-что то совсем аппаратное есть, типа Asic И их нельзя будет задействов, kusb, 11-Июн-23, 22:46 (63)
        
        В барракудах Нет там ничего Обычный x86 с перелицованным корпусом , Tron is Whistling, 11-Июн-23, 23:07 (70)
  - почему как раз прошел и будем готовиться к худшему закрепился там внутри жел, ivan_erohin, 11-Июн-23, 18:02 (45) //
    - Хорошая фантазия На практике же, у этой железки нет доступа в корпоративную сет, Аноним, 11-Июн-23, 18:30 (47)
      - вы сами все и сказали никто за язык не тянул фаерволлы, роутеры и вланы не помо, ivan_erohin, 11-Июн-23, 19:56 (54)
        
        И что изменилось с появлением взломанной Барракуды Волшебные письма и пакеты по, Аноним, 11-Июн-23, 20:18 (57)
        
        С большой вероятностью с той барракуды был открыт доступ к ексченджу и лдап АД , Аноним, 11-Июн-23, 22:19 (61)
        
        Тоже хорошая фантазия, и тоже ближе к фольклору, чем к реальности Компании, кот, Аноним, 11-Июн-23, 23:52 (75)
        ну так ее для этого ломать не надо было - просто послать письмо А никаких други, пох., 12-Июн-23, 00:25 (79)
        
        Вроде не совсем ду волшебный на голову но всё же - сморозил Выкинут на ЮХ и, _, 12-Июн-23, 04:28 (81)
        
        а им дадут Нам, например, afaik, нельзя А кто мог перейти на 365 уже давно все, пох., 12-Июн-23, 11:06 (89)
        
        Пресейлсы из разрабов хорошие получаются Ну, при условии, что разраб не аутист , Аноним, 12-Июн-23, 16:39 (101)
        Лично знаю кучу народа, которые подались в продакт-менеджеры, сейлы, тимлиды не, Аноним, 12-Июн-23, 18:24 (105)
        
        Продакт project манагеры это обычно как раз очень крутые кодеры А то что льви, Аноним, 13-Июн-23, 10:30 (128)
    - Угу Пришлось срочно перевыписывать все внешние сертификаты тот ещё геморрой , Tron is Whistling, 11-Июн-23, 23:11 (71)
Бл Вот влилпли а Барракуда, случайно, эта не та компания которая выпускает л, Аноним, 11-Июн-23, 10:31 (3)
Видимо, атака спецслужб Кто ещё ради этого в прошивку полезет Чё, бинго сорвал, Аноним, 11-Июн-23, 10:32 (6) //
- так американские спецслужбы сделали что хотели, но сторонние хацкеры, пробравшис, Бывалый смузихлёб, 11-Июн-23, 10:36 (8)
- Что, прямо в имплантах их названия записаны Или специально придуманы, чтобы сде, Аноним, 11-Июн-23, 10:36 (9) //
  - Не знаю, что такое имплант, но в теле зловреда нередко оставляют текстовые строк, n00by, 11-Июн-23, 12:11 (26) //
    - Да, специально, чтобы была для антивируса сигнатура, в авторстве сомнений не был, Аноним, 11-Июн-23, 12:25 (28)
      - Что тут обычно, так это качество анонимной экспертизы По факту Rustock C был та, n00by, 11-Июн-23, 14:29 (35)
- Не смогут позволить что именно Коробку скотчем замотать и лейбу на принтере рас, Аноним, 11-Июн-23, 18:32 (48) //
  - о времена, о нравы - еще небось на СВОЕМ принтере Эх А когда-то малчык прибе, пох., 11-Июн-23, 18:38 (49) //
    - Мальчик с тех пор подрос, и работает в UPS Но таки да, печатать приходится на с, Аноним, 11-Июн-23, 20:21 (58)
- Почему не станут-то Нам вообще заменили мегаоперативно - мы обратились в первый, Tron is Whistling, 11-Июн-23, 23:06 (69)
- Ради чего 171 этого 187 Ради сбора всей корреспонденции бизнеса Ну даже не, Аноним, 12-Июн-23, 16:44 (102)
- Ну вон автор MIRAI не был спецслужбами Зато собрал ботнет в 300К ботов в момент, Аноним, 12-Июн-23, 23:02 (119)
Причиной пожара стало возгорание противопожарной системы Классика жанра Уж скол, YetAnotherOnanym, 11-Июн-23, 10:36 (10) //
- Ты не шаришь в goto , Аноним, 11-Июн-23, 11:40 (20) //
  - Пытаешься троллить или просто проецируешь , YetAnotherOnanym, 11-Июн-23, 13:48 (32)
- goto ничем не плох, проме того что в кривых руках он ломает читабельность В прав, Ivan_83, 11-Июн-23, 15:52 (40) //
  - Классика жанра Код мой - упрощение логики и повышенная читабельность Код чуж, Аноним, 11-Июн-23, 19:27 (53) //
    - Вовсе нет Я долго избегал goto у себя в коде, пока не увидел его в исходниках яд, Ivan_83, 11-Июн-23, 22:55 (64)
      - Ну вот это как раз потому, что у вас в коде типичная сишная императивная лапша, , Аноним, 12-Июн-23, 00:13 (78)
        
        И что с того , Ivan_83, 13-Июн-23, 21:59 (131)
- Ну как бы нет Это за использование qx для запуска шела на бить по рукам Это оз, Liin, 11-Июн-23, 20:03 (55)
- В программировании не бывает жёстких законов - только указания GOTO удобен для о, Аноним, 12-Июн-23, 10:57 (88) //
  - Проблема в том что он удобен еще и для прострела пяток не сильно очевидными спос, Аноним, 13-Июн-23, 10:16 (126)
Компрометация шлюзов Barracuda ESG, требующая замены оборудо..., Аноним, 11-Июн-23, 10:36 (11) //
- Как нейгочип в DEHR , Аноним, 11-Июн-23, 11:26 (19)
LD_PRELOAD Зато место на диске сэкономили , n00by, 11-Июн-23, 12:03 (21)
Email InSecurity gateway однако получился Ну, что, кто еще из безопасников хоче, Аноним, 11-Июн-23, 12:08 (23) //
- Что теперь эту компанию оштрафуют на жесткие 60 000 рублей Да пофиг можно не то, Аноним, 11-Июн-23, 12:10 (25)
В очередной раз кровавый энтерпрайз показал что никакой он не кровавый а от др, Самый Лучший Гусь, 11-Июн-23, 13:17 (31) //
- Какой же это энтерпрайз это молодая динамично развивающаяся компания, а 5 проши, Атон, 11-Июн-23, 13:59 (34) //
  - У них в подвале Уже весьма немолодая Хардварный шлюз для электронной почты это , Самый Лучший Гусь, 11-Июн-23, 16:03 (41) //
    - Не фирма-однодевка, но молодая 5 версия вышла в 2017 9 в 2023 грубо говоря, д, Атон, 11-Июн-23, 17:35 (44)
      - Ну щассс сколько там лет ironport до покупки его циской Изобрели идею, успеш, пох., 11-Июн-23, 18:15 (46)
        
        это им очень совпало с периодом когда у эффективных менеджеров возникла мода ску, Атон, 11-Июн-23, 19:03 (50)
        а зачем циска поглощала ClamAV и Snort, Атон, 11-Июн-23, 19:10 (51)
        
        да хз - может избавлялась от неконтролируемых конкурентов, может назло врагам, а , пох., 12-Июн-23, 00:13 (77)
        
        Повторяю большими красными буквами, что Barrakuda что IronPort - личензировали а, _, 12-Июн-23, 04:50 (82)
        
        вот, была бы непыльная работенка на всю жизнь, переписывать с пистона на пистон , пох., 12-Июн-23, 08:27 (85)
        
        Работяги в твиттере тоже так думали Пришел Маск и вышиб 80 этих самых, обнаруж, Аноним, 12-Июн-23, 23:06 (120)
Не удивлюсь, если там внутри какой-нибудь amavis который как раз на перле , анонимус, 11-Июн-23, 13:49 (33) //
- Вероятнее всего связка ClamAV SpamAssassin, Анонимус другой, 11-Июн-23, 14:36 (36) //
  - Спамооборона, Аноним, 11-Июн-23, 15:01 (38)
Jun 11 12 54 23 mg16 postfix smtpd 10418 warning Illegal address syntax from , Аноним, 11-Июн-23, 15:27 (39) //
- Коментарии на испанском, Всем Анонимам Аноним, 11-Июн-23, 17:14 (42)
- А что это вообще за дуршлаг Например 68 235 39 225 e работает и вываливает како, Аноним, 12-Июн-23, 23:21 (122)
Вот что бывает когда АНБ США набирает себе сотрудников для баланса гендерной ней, Аноним, 11-Июн-23, 19:17 (52)
То, что они не могут пофиксить прошивку без замены устройства - это прям мегафак, Liin, 11-Июн-23, 20:08 (56) //
- CTO - это профессия грести деньги, а не менять прошивки Вот ты его прогнал в др, Аноним, 11-Июн-23, 20:57 (59)
- Ды почему факап Есть base OS, есть набор пакетов собственно аппликухи - фирмва, Tron is Whistling, 11-Июн-23, 23:04 (67) //
  - IPMI для тяжёлых случаев у них есть, кстате, но, видимо, решили геморроев на , Tron is Whistling, 11-Июн-23, 23:05 (68) //
    - у них может и установочного образа-то не быть, нафига он нужен, чтоб потырили и , пох., 12-Июн-23, 11:11 (90)
      - Деплойный образ-то скорее всего есть, особенно с учётом того, что у них даже вир, Tron is Whistling, 12-Июн-23, 17:57 (104)
  - Ну мил человек, чай не в 20-м веке-то живем Полно технологий и подходов уже изв, Liin, 11-Июн-23, 23:50 (74) //
    - нет гарантии что он не dual pwned, нужно об этом думать на этапе проектирования,, пох., 12-Июн-23, 11:15 (91)
      - А-ха-ха, поменяли коробки Поменять коробки можно для кошки А замена инфрастр, Liin, 12-Июн-23, 12:12 (93)
        
        В чём проблема замены-то Одну железку почистить и снять, одну поставить и включ, Поле Name не забыто и не прощено, 12-Июн-23, 14:11 (94)
        
        Что значит - одну У вас все железки скомпроментированы Их надо разом все вык, Liin, 12-Июн-23, 14:17 (97)
        
        Чо Новые железки уязвимости не имеют Да, есть некоторое опасение, что через кла, Поле Name не забыто и не прощено, 12-Июн-23, 14:23 (98)
        
        Я так понимаю, что основы безопасности сетей и серверов Вам не очень хорошо знак, Liin, 12-Июн-23, 19:41 (111)
        
        Да Обязательно выключить всё и полгода разбираться Клиенты подождут, главное -, Tron is Whistling, 12-Июн-23, 22:44 (112)
        И да, расскажи нам, благородный дон, что ты собрался аудитить в закрытой железке, Tron is Whistling, 12-Июн-23, 22:52 (116)
        Я злой сегодня В той сети - это в какой У меня допустим оно в паблике стоит , Tron is Whistling, 12-Июн-23, 22:53 (117)
        
        Я тоже не прочь увидеть как кого-то чрезмерно самоуверенного заслуженно трахнут , Аноним, 12-Июн-23, 23:10 (121)
        
        АУДИТ, а не перебор zmap ом Вот сразу и видно, кто с чем знаком , Tron is Whistling, 13-Июн-23, 09:19 (124)
        Ну так сначала Zmap ом находятся promising targets - в том числе и все что по, Аноним, 13-Июн-23, 10:24 (127)
        А У Д И Т, Tron is Whistling, 13-Июн-23, 11:52 (129)
        
        Ладно, до конца подскажу Выбирайте самый простой вариант конфигурим одну нову, Поле Name не забыто и не прощено, 12-Июн-23, 14:26 (99)
        
        обычная работа Еще и по некритичному сервису, пол-часа без почты или резервным , пох., 12-Июн-23, 19:01 (107)
А могли поставить съемный spi чип в дипоском корпусе в распаянную на плате крова, Аноним, 11-Июн-23, 22:39 (62) //
- Какой блджад SPI чип Какая кроватка Там обычный x86 внутри С SSD HDD и поэтес, Tron is Whistling, 11-Июн-23, 23:01 (66) //
  - Чего она не представляет Если там обычный hdd ssd, пройтись по ним обычным dd, з, Аноним, 11-Июн-23, 23:59 (76) //
    - Ну давай, пройдись мне dd по железке, которая не даёт тебе полноценной консоли , Поле Name не забыто и не прощено, 12-Июн-23, 14:12 (95)
      - Тоже мне бентли нашлась, лол ПС почистил и промыл карб шахи - и пошёл резать пя, Аноним, 15-Июн-23, 00:16 (137)
    - Ну там реально чего угодно может быть после порутания Но обычным dd по ним никак, Tron is Whistling, 12-Июн-23, 15:05 (100)
- Зачем Дополнительные компоненты, кастомное железо, необходимость вскрывать корп, Аноним, 12-Июн-23, 17:03 (103)
Email Security Gateway Это файрвол отдельно для почтового сервера, а не для все, Аноним, 12-Июн-23, 08:18 (84) //
- бэкапы конфига, извиняюсь за грубость, делать не принято Ну пусть настроят, нав, пох., 12-Июн-23, 11:17 (92) //
  - Ды там кластеринг есть, 99 конфига синхронизируются Если у кого-то железка одн, Поле Name не забыто и не прощено, 12-Июн-23, 14:14 (96) //
    - ну фиг знает, стоит ли синхронизироваться с зараженным кластером, но в целом тож, пох., 12-Июн-23, 19:07 (109)
      - Не, синхронизироваться можно с новой машиной, образующей новый кластер Процесс , Tron is Whistling, 12-Июн-23, 22:46 (113)
  - ты вообще не понял масштаб кабздеца Заражается ESG через бэкдор, подгружаются л, Аноним, 12-Июн-23, 18:58 (106) //
    - если у тебя почтовый сервер может чем-то там заразиться от совершенно несовмести, пох., 12-Июн-23, 19:05 (108)
      - выше я отметил про SMTP из ориг статьи А то несовм железка и пошло-поехало до, Аноним, 12-Июн-23, 19:13 (110)
      - На счет конфигов - в современные конфиги некоторые умники очень любят встраивать, pofigist, 13-Июн-23, 09:56 (125)
        
        Я Barracuda последний раз видел в 2015-6 году, на пямять - еЯ конфиг просто бого, _, 13-Июн-23, 22:50 (132)
    - ORLY - Вот в этом месте - подробнее, с тех деталями Раскрой механизм дейста, _, 13-Июн-23, 22:52 (133)
      - Да фиг ли там раскрывать Заражается ESG, сканит сеть, ломает протухшую винду с с, Tron is Whistling, 13-Июн-23, 23:29 (134)
        
        Там два порта обычно открыто до инлета Ыксчейдного - почта и директорий PS О, _, 14-Июн-23, 17:27 (135)
        
        У половины рогов и копыт именно так и бывает DОдна сторона в паблике, другая в , Tron is Whistling, 14-Июн-23, 19:59 (136)
Никогда такого не было и вот опять , Neon, 13-Июн-23, 03:17 (123)
Чего там можно сделать с ошибкой было , Аноним, 13-Июн-23, 14:31 (130)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру