Новая проблема от ХМ

[kROOT]

Уже от 2х источников пришло - регистраторы подключены к монитору и по белому адресу проброшены порты наружу 1 в 1, т.е. 34567.
Рег пишет что пытается обновится и в каких то случаях зависает, в каких то перегружается.
Реги старые, один из тех, которые на 8 каналов перешивались в 16 (2мп). Другой не знаю. Вобщем у кого такие проблемы есть, скорее всего поможет изменить внешний порт на другой нестандартный. Другой прошивка 00000202.

[Рустам]

То есть регистратор сам пытается обновится через интернет, не спрашивая разрешения хозяина?
Нехорошо.

[kROOT]

То есть регистратор сам пытается обновится через интернет, не спрашивая разрешения хозяина?
Нехорошо.

Это да... но не пытается,а его пытают.
Еще у одного человека даже какие то входы удаленные делают.
А вообще никогда не стоит пробрасывать порты 1 в 1, уязвимости у многих устройств случаются, а сканы устройств идут только по стандартному порту.

[Рустам]

То есть регистратор сам пытается обновится через интернет, не спрашивая разрешения хозяина?
Нехорошо.

Это да... но не пытается,а его пытают.
Еще у одного человека даже какие то входы удаленные делают.
А вообще никогда не стоит пробрасывать порты 1 в 1, уязвимости у многих устройств случаются, а сканы устройств идут только по стандартному порту.

А, понял, всё-таки не сам рег, а это его реакция на внешнее воздействие из сети через какую-то уязвимость связанную с обновлением.

[kROOT]

Вобщем вешают любые устройства, и камеры тоже. Причем несколько регов повисли со вчерашнего вечера, у которых порт был 34568! Видимо соседние порты тоже тестят.

[AlexLider]

Сегодня на объектах в региональной столице и в самом регионе были массово атакованы регистраторы и камеры, но по большей части пострадали регистраторы, которые, как по команде, пытались *обновиться* и, спустя продолжительное время, сами уходили в перезагрузку.
При просмотре логов были обнаружены следующие записи:

1792 06-08-2024 09:23:31 Вход admin<Server:185.224.128.74>
1793 06-08-2024 09:23:31 Выход admin<Server:185.224.128.74>
1794 06-08-2024 09:23:31 Вход admin<Web:185.224.128.74>
1795 06-08-2024 09:23:45 Выход admin<Web:185.224.128.74>

1948 22-08-2024 18:22:42 Вход Имя пользователя или пароль ошибке admin<FutureHome:0.0.0.0,203>
1949 22-08-2024 18:28:19 Вход Имя пользователя или пароль ошибке admin<Web:95.214.52.167,203>
1950 22-08-2024 18:28:20 Вход Имя пользователя или пароль ошибке admin<Web:95.214.53.45,203>
1951 22-08-2024 18:30:43 Вход admin<Web:95.214.53.45>
1952 22-08-2024 18:31:02 Выход admin<Web:95.214.53.45>

Поначалу хаотично поступавшие заявки о зависших на этапе обновления регистраторах не вызывали опасений, а точечно предпринимаемые меры такие, как занесение IP-адресов в Черный Список, приносили временный результат, но, начиная с 22.08.2024 волна атак возобновилась в масштабе цунами, в результате чего порядка 200 регистраторов, которые были выведены в Интернет напрямую через внешние IP (проброс портов, DMZ), просто *легли*. Отбиться от цунами атак не удалось ни сменой паролей, ни сменой портов.
Нынешней особенностью атаки явилось то, что к регистраторам и камерам подключались одновременно до 3-4 IP-шников (видимо, для надежности), также на многих была включена потенциально опасная сетевая служба uPNP, которая автоматически расшаривает порты.
Регистраторы и камеры, которые сидели внутри сети и были подключены исключительно через облако, атакам не подверглись, хотя на некоторых старых регистраторах были единичные попытки с записью вида Вход Имя пользователя или пароль ошибке admin<FutureHome:127.0.0.1,203>
Также атакам не подверглись регистраторы и камеры с новейшими прошивками, в которых по умолчанию удалены и заблокированы стандартные учетные записи такие, как admin и default, а также включена защита от перебора паролей (настраиваемое кол-во попыток входа и время блокировки) и иные меры (например, запрет установки простых паролей). Но! Предполагаю, что это временно.

Учитывая все вышеописанное, настоятельно рекомендую временно отказаться от использования удаленного доступа к СВН через внешние IP-адреса, особенно на критических объектах и объектах с массовым пребыванием людей, а также придерживаться общих рекомендаций https://forum.videon.spb.ru/viewtopic.p ... 92#p105492 (отключать доступ к облачному сервису необязательно, т.к. проблема не в нем; создание резервной учетной записи с правами admin - крайне желательно)

[kROOT]

Сегодня на объектах в региональной столице и в самом регионе были массово атакованы регистраторы и камеры

Как то поздно вас задело, а может просто все выходные внимания не обращали.

ни сменой портов

Смена портов помогает, единственно они начали сканить ближайшие порты.

Нынешней особенностью атаки явилось то, что к регистраторам и камерам подключались одновременно до 3-4 IP-шников (видимо, для надежности)

Думаю что это атака зараженных регистраторов, этим и объясняется рост числа атак - чем больше устройств заражено, тем сильнее волна атак. Причем если с четверга сканировали только 34567 порт, то вчера вечером пострадали регистраторы с 34568 портом. Реально заражается скорее всего только определенная версия оборудования, остальных пытаются заразить через уязвимость загрузки прошивки, после чего устройство либо зависает либо перегружается.
На счет прям все порты будут сканировать, мне кажется это нереально, всего более 65000 портов на каждом адресе и к каждому надо обратится и подождать ответа. Да, можно многопоточное сканирование, но тут тоже есть ограничения. А адресов в интернете... ну очень много. Обычно полный скан проводят только на определенное устройство, которые надо взломать с максимальной вероятностью.
Так что ставим порты выше 60000 и расслабляемся.

[AlexLider]

Как то поздно вас задело, а может просто все выходные внимания не обращали.

Смена портов помогает, единственно они начали сканить ближайшие порты.

Думаю что это атака зараженных регистраторов, этим и объясняется рост числа атак - чем больше устройств заражено, тем сильнее волна атак. Причем если с четверга сканировали только 34567 порт, то вчера вечером пострадали регистраторы с 34568 портом. Реально заражается скорее всего только определенная версия оборудования, остальных пытаются заразить через уязвимость загрузки прошивки, после чего устройство либо зависает либо перегружается.
На счет прям все порты будут сканировать, мне кажется это нереально, всего более 65000 портов на каждом адресе и к каждому надо обратится и подождать ответа. Да, можно многопоточное сканирование, но тут тоже есть ограничения. А адресов в интернете... ну очень много. Обычно полный скан проводят только на определенное устройство, которые надо взломать с максимальной вероятностью.
Так что ставим порты выше 60000 и расслабляемся.

Дааа, устроили гады проверку боевой готовности. Ну пока по нашим объектам системы были атакованы все подряд, которые были выведены во внешку. Оборудования с новыми, допиленными прошивками, выведенными во внешку, единицы, поэтому данных нет. Спасибо, что камеры не украли, они-то как раз лучше защищены и не светятся нигде.
А насчет портов с нестандартными значениями - подумаю, проверю на досуге

[AlexLider]

Еще хочу попробовать реабилитировать опыт baG-а, который просто вырубал и переименовывал зашитые учетки https://forum.videon.spb.ru/viewtopic.p ... 108#p86667

[reanimatorlash]

была подобная ситуация. решилось белым/чёрным списками ip.

[kROOT]

была подобная ситуация. решилось белым/чёрным списками ip.

Даже если такие настройки были, то так вносить в белый список клиентов, которые подключаются через динамические адреса? А заносить в черный? Так адреса меняются и после каждого зависания раз в 5 минут, лезть в логи и заносить адрес?

[AlexLider]

Даже если такие настройки были, то так вносить в белый список клиентов, которые подключаются через динамические адреса? А заносить в черный? Так адреса меняются и после каждого зависания раз в 5 минут, лезть в логи и заносить адрес?

Совершенно верно! Ручное администрирование списков IP-адресов - это борьба с последствиями, метод, не отвечающий уровню и масштабу угроз.
Нынешние атаки отличаются от предыдущих тем, что захватчики сосредоточили усилия на эксплуатации уязвимостей XM, а именно - на беспарольном доступе, и бьют конкретно по портам.
Де-факто требуется как минимум территориальная фильтрация IP-адресов, а именно запрет удаленного доступа с заграничных IP-адресов. Это позволило бы значительно уменьшить масштабы откровенного бедствия.
Чую, на объектах придется устанавливать сетевые экраны для защиты критически важных систем. Мучительно пытаюсь вспомнить , как настраивал PC-файерволл Айдеко, настраивал *обманки* для выявления фактов сканирования портов и оперативной блокировки атакующих IP-адресов, а также синхронизации Черных Списков между файерволлами, т.е. целый комплекс мер