Под атаку попал даже рег, у которого во внешку был вынесен всего один порт, да и тот нестандартный. Тут нужно понять, как ломают, чтобы внести изменения в прошивку.
Как я понял, влазят в старые реги через уязвимость под учёткой админа и пытаются накатить вредоноса через обновления. Используют универсальный скрипт с SkipCheck на всех полях типа Hardware и т.д.
Решение в лоб - меняем в софии SkipCheck на другую фразу - обновление уже не будет накатываться вредоносом, но перегружать будет.
От второго переименовываем админа в другого пользователя. Возможно, придётся тоже пропатчить прошивку.
Но проблемы это не решит, нужно закрывать саму уязвимость. У кого-нибудь есть её описание?
Новая проблема от ХМ
Re: Новая проблема от ХМ
dobriy den kak vam napisat v licku?AlexLider писал(а): ↑30 авг 2024, 07:50Из последних наблюдений... Внес в Черный Список адрес 127.0.0.1, и третий день полет нормальный.
На 30 число атакам и вторжению подверглись регистраторы с самыми последними прошивками 2023-24 года, т.е. злоумышленникам известна некая универсальная уязвимость, которую они используют для беспарольного доступа. Следим за ситуацией
-
AlexLider
- Специалист
- Сообщения: 1204
- Зарегистрирован: 01 авг 2016, 01:11
- Откуда: Россия, Пермь
- Контактная информация:
Re: Новая проблема от ХМ
Ищем пока, нет никакой информации по поводу уязвимости. Взломаны оказались даже реги с прошивками от 2024-го. Такое ощущение, что взломщикам вообще не нужна учетка.Sonya писал(а): ↑01 сен 2024, 22:44Под атаку попал даже рег, у которого во внешку был вынесен всего один порт, да и тот нестандартный. Тут нужно понять, как ломают, чтобы внести изменения в прошивку.
Как я понял, влазят в старые реги через уязвимость под учёткой админа и пытаются накатить вредоноса через обновления. Используют универсальный скрипт с SkipCheck на всех полях типа Hardware и т.д.
Решение в лоб - меняем в софии SkipCheck на другую фразу - обновление уже не будет накатываться вредоносом, но перегружать будет.
От второго переименовываем админа в другого пользователя. Возможно, придётся тоже пропатчить прошивку.
Но проблемы это не решит, нужно закрывать саму уязвимость. У кого-нибудь есть её описание?
Пока самой действенной и эффективной мерой остается защита всей внутренней сети объекта от угроз извне: с территориальными ограничениями, с защитой от сканирования портов, автоматическим внесением обнаруженных IP в Черный Список и т.д.
-
Sonya
- Специалист
- Сообщения: 1313
- Зарегистрирован: 12 авг 2014, 15:24
- Откуда: Сергиев Посад
- Контактная информация:
Re: Новая проблема от ХМ
В новых прошивках учётка админа удаляется. Но как раз они и не подвержены взлому. Видимо, китайцы уже знали про ту уязвимость и таким образом пытались закрыть дырочку.
У меня есть на руках скрипт для взлома, буду анализировать.
-
Norco-77
- Специалист
- Сообщения: 503
- Зарегистрирован: 15 сен 2019, 22:25
- Откуда: Ростов-Дон near
- Контактная информация:
Re: Новая проблема от ХМ
-
Sonya
- Специалист
- Сообщения: 1313
- Зарегистрирован: 12 авг 2014, 15:24
- Откуда: Сергиев Посад
- Контактная информация:
Re: Новая проблема от ХМ
Есть тестовая патченная прошивка 109 под железо NBD7816T-F. У кого такой рег, попробуйте. Патч должен блокировать беспарольный взлом и тем самым препятствовать дальнейшим действиям вредоноса. Но возможны побочные эффекты, так что внимательно понаблюдайте за работой рега после прошивки. Я протестировал только элементарные действия.
Re: Новая проблема от ХМ
У меня рег с отключённой в прошивке учёткой админа (вместо него используется какой-то hbsc). Но всё равно за сутки как нож в масло вошли без проблем с этой учёткой с канады, нидерландов, великобритании и китая...
-
Sonya
- Специалист
- Сообщения: 1313
- Зарегистрирован: 12 авг 2014, 15:24
- Откуда: Сергиев Посад
- Контактная информация:
Re: Новая проблема от ХМ
Скрипт взлома позволяет слить конфиг без авторизации. После этого процесс подключения - дело техники.
-
AlexLider
- Специалист
- Сообщения: 1204
- Зарегистрирован: 01 авг 2016, 01:11
- Откуда: Россия, Пермь
- Контактная информация:
Re: Новая проблема от ХМ
Аналогично. Провел процедуру смены пароля и имени стоявшей по умолчанию учетки. Через сутки вошли в систему, как к себе домой.
Создавал вторую учетку, первую удалял. Буквально через полчаса ситуация повторилась, вошли под именем новой учетки, т.е. что старые, что новые реги и, по всей видимости, камеры имеют одну и ту же уязвимость, позволяющую входить в систему без пароля, с использованием существующих учетных записей с правами admin, а, значит, конфиг действительно тупо сливается
-
AlexLider
- Специалист
- Сообщения: 1204
- Зарегистрирован: 01 авг 2016, 01:11
- Откуда: Россия, Пермь
- Контактная информация:
Re: Новая проблема от ХМ
Будь добр, сообщи позже о результатах, какие дыры пофиксил, а также какие изменения внести в прошивкиSonya писал(а): ↑02 сен 2024, 12:42Есть тестовая патченная прошивка 109 под железо NBD7816T-F. У кого такой рег, попробуйте. Патч должен блокировать беспарольный взлом и тем самым препятствовать дальнейшим действиям вредоноса. Но возможны побочные эффекты, так что внимательно понаблюдайте за работой рега после прошивки. Я протестировал только элементарные действия.
-
Sonya
- Специалист
- Сообщения: 1313
- Зарегистрирован: 12 авг 2014, 15:24
- Откуда: Сергиев Посад
- Контактная информация:
Re: Новая проблема от ХМ
Создан канал в телеге с патченными прошивками. Просьба опробовать и отписаться в комментариях к прошивке.
Сейчас доступны:
NBD8004R-PL (00000203)
NBD8008R-PL (00000202)
NBD8008R-U (00000197)
NBD7024H-P (00000107)
NBD7816T-F (00000109)
В этих прошивках отключено выполнение команд без авторизации, что должно остановить внедрение вредоноса.
Сейчас доступны:
NBD8004R-PL (00000203)
NBD8008R-PL (00000202)
NBD8008R-U (00000197)
NBD7024H-P (00000107)
NBD7816T-F (00000109)
В этих прошивках отключено выполнение команд без авторизации, что должно остановить внедрение вредоноса.
