Про танки, америкосов и протокол Smart Install

Телеком Сочи

Вчера в Интернете творилось странное. Многие админы открыли для себя протокол первоначальной конфигурации Cisco Smart Install, и дыру в нём, под названием CVE-2018-0171.

Ботнет сканировал Рунет, находя там оборудование Cisco подходящих моделей, и и через программу- эксплойт получал доступ к оборудованию.

В результате вместо файла конфигурации на коммутаторы записывалась вот эта картинка с американским флагом и сообщением «не лезьте в наши выборы», превращая их в исправные, но бесполезные коробки:

Вероятно, в программе «Время» вам об этом не расскажут. Примечательно, что компания Cisco Systems признала наличие уязвимости и выпустила патч только когда атака была уже в разгаре.

Затронуло это и сеть «Бизнес-Связь», вчера вечером многие из вас оказались без интернета и телевидения. Мы восстановили работоспособность основных элементов сети примерно в течение часа.

За время блекаута удивительно чуткие и трогательные письма пришли на почту ко мне и моим людям. Взгляните:

Потеря совести! ни черта не работает в том числе и тех поддержка, звонки платные на ваши стремные номера!

Может ваши сотрудники сразу после вашего отъезда втихаря криптовалюту майнят?

вместо оплаченных за 350 руб 40 мб/с нет и одного мб

и так далее…

Нет, пупсики мои.

Мы все работали, разбирались с техникой. А на техподдержку вы не дозвонились потому, что туда в этот момент звонили все.

Будьте добрее. Если не к нам, то хотя бы друг к другу. Это просто поразительно, сколько желчи может вылиться из человека, если ему не дали поиграть в танчики.

Материалы по теме:

+40
07 апреля 2018, 09:04
Framer

Это просто поразительно, сколько желчи может вылиться из человека, если ему не дали поиграть в танчики.

В последнее время стали часто появлятся жалобы на поведение пользователей в сети Рунета. (напр.Д.Козловский) И это не безосновательно, что факт. Как-то это подозрительно…

Bacek

07 апреля 2018, 09:16
↓

Понятно. А то у нас дома тоже соседи запаниковали.
Блин, сама болею интернет-зависимостью и очень страдаю, когда интернет отключается. А ведь люди многие тысячи лет жили даже без электричества. Представляю, как многим из них тоскливо жилось.

babulya

07 апреля 2018, 09:25
↓

проклятые американцы напомнили кто домком и отключает газ!)))

rem-sochi

07 апреля 2018, 09:45
↑
↓

Как медведев сказал мы создадим свой интернет))))

zajavitel

07 апреля 2018, 10:30
↑
↓

Со своим блэкджетом и ш.....))

iles

07 апреля 2018, 10:56
↑
↓

вот вот))))

zajavitel

07 апреля 2018, 12:02
↑
↓

iles

07 апреля 2018, 10:14
↓

Люди хоть соседей узнают, а то ж из этих ваших интернетов невылазиют..)

iles

07 апреля 2018, 10:16
↑
↓

А мы в доме сделали две группы в вацапе — одну для деловых общений, вторую для поболтать. У нас больше 300 квартир, так что народу много и общение бывает бурное. Вчера и позавчера решали, куда мангал ставить. Так пока и не решили. Какое место не предложат, сразу кто-то возражает. Как бы все за, но в каждом конкретном месте она кому-то мешает.
Поздравляют люди открыточками и песенками друг друга, общаемся.

babulya

07 апреля 2018, 14:21
↑
↓

Ты в обеих группах чат затроллила и засрала?)

bescker

07 апреля 2018, 15:39
↑
↓

Нет. Я ж не ты.

babulya

07 апреля 2018, 16:40
↑
↓

она дома не гадит.

rem-sochi

07 апреля 2018, 19:23
↑
↓

я на улице с ноутом. так нормально?)

11A11

07 апреля 2018, 13:27
↑
↓

На улице интернет лучше ловит так????

zajavitel

07 апреля 2018, 20:50
↑
↓

Мы конечно Вас, как Фрамера уважаем, но при возникновении таких сбоев можно было через зад войти два слова вывесить о сбое на своих ресурсах или здесь на Привете. Когда надо было Вы здесь о проводах срезанных статьи каждый день постили, а тут на тебе, ни связи, ни информации. Додумывайте сами, бросили Вы нас или мы сами отпали. А то мы такие крутые связисты, что круче только яйца, можем всё, а потом обижаемся, что народ нас не любит.

REMIX

07 апреля 2018, 12:13
↓

А как люди без интернета узнали бы об объявлениях на предлагаемых ресурсах?

Human

07 апреля 2018, 12:23
↑
↓

А вы всё в колокол стучите или смартфон имеете?

REMIX

07 апреля 2018, 12:27
↑
↓

Речь не обо мне. Есть же люди, у которых кнопочные телефоны до сих пор, а дома интернет на стационарных компьютерах.

Human

07 апреля 2018, 16:41
↑
↓

Это у меня!)))

Alenka97

08 апреля 2018, 10:38
↑
↓

Во время атаки сайты bisv.ru и sochi.camera прекрасно работали(только для абонентов бизнес связи).

zabaneniy

07 апреля 2018, 12:54
↑
↓

не хочу с Вами спорить — но нет.

а ДНС у вас те которые БС выдаёт прописаны ;)

misha

07 апреля 2018, 13:19
↑
↓

Предлагаю пойти Вам в службу поддержки БС оператором. А то нам «сирым» юзерам даже этот вопрос никто задать не может, поскольку дозвониться в СП БС позавчера вечером было нереально.

ZMike

07 апреля 2018, 13:26
↑
↓

поскольку дозвониться в СП БС позавчера вечером было нереально.

пользователи просто устроили «ддос» пулу СП БС. форсмажор, бывает такое.

misha

07 апреля 2018, 13:57
↑
↓

Нет. Не читаете. Это было позавчера. Никаких ддос. Некому трубку снимать.

ZMike

07 апреля 2018, 14:29
↑
↓

19 человек на поддержке для физлиц,
7 человек — для юрлиц.
А так да, некому снимать.

Framer

07 апреля 2018, 14:40
↑
↓

А Вы не бахвалитесь. У вас клиентов — город. И Вам клиент с нерешенной проблемой говорит, что у вас проблема с очередью «на кассе». Поэтому не надо мне говорить, что я (как клиент) то-ли из Гондураса, то-ли сам я гондурас со своими проблемами… Не надо!!!

ZMike

07 апреля 2018, 15:16
↑
↓

Спасибо за экспертизу.

Framer

07 апреля 2018, 15:29
↑
↓

Хамить вам тоже не нужно. Вы лучше расскажите кем вы работаете и какой у вас вид деятельности. И какой средний чек за вашу работу?

misha

07 апреля 2018, 15:43
↑
↓

Вы лучше расскажите

Ну если прям станет лучше, то расскажу.
Руководитель. Торговля. 8. Только Вы путаете, это не топик-обсуждение моего бизнеса.

ZMike

07 апреля 2018, 16:23
↑
↓

Ооо! Торгаши это моя любимая тема. Вы за то что я вам копейку плачу обязаны по гроб жизни наверное :))

misha

07 апреля 2018, 16:33
↑
↓

Миша а разве вы сами не торгаш? Все обвешано на сайте рекламой, причем порой дебильной…

Так что и вы не у станка…

anx

07 апреля 2018, 21:14
↑
↓

Согласен. Но основной вид деятельности это социалка, а для нее нужны средства. Да и в рабочем. Состоянии поддерживать сайт стоит денег. Прошу вас не рассказывать мне про виртуалки, коло и только коло. Ну и сопутствующие траблы в виде ддосов, бандосов и т.д…

misha

07 апреля 2018, 22:13
↑
↓

Когда тех поддержка не отвечает или не работает — это очень хорошо. Это означает что проблема не у вас, что проблема глобальная, а значит её будут решать в первую очередь как можно быстро.

zabaneniy

07 апреля 2018, 14:31
↑
↓

А да тоже способ определения проблемы, если супорт загружен значит проблема не у меня и можно спокойно отдыхать)))

zajavitel

07 апреля 2018, 21:13
↑
↓

Ну вообще-то мы ровно это и сделали вчера: bisv.ru/news/162

Framer

07 апреля 2018, 12:50
↑
↓

Возможно Ваши пользователи могли загрузить эту страницу,(но именно они жаловались на отсутствие связи) а я посторонний вам абонент не смог.

REMIX

07 апреля 2018, 12:59
↑
↓

Ну вот, на Лента.ру появилось тоже: lenta.ru/news/2018/04/07/cisco/
Привет, ka3u6oxa, жги ещё.

Framer

07 апреля 2018, 13:10
↓

Смысл жечь, вы трете все коменты которые задевают ваше зашкаливающее ЧСВ =)

ka3u6oxa

07 апреля 2018, 17:53
↑
↓

Твои комменты имели бы больше ценности, если б ты не был трололошей из Дагомыса.

Framer

07 апреля 2018, 18:20
↑
↓

ka3u6oxa

07 апреля 2018, 18:05
↓

=))))

reticon

07 апреля 2018, 21:17
↑
↓

каха как всегда)))

zajavitel

07 апреля 2018, 21:37
↑
↓

Дима, привет!
Судя по вашему lg у вас и бордер вчера неслабо колбасило, хотя его по идее его не должно было задеть, там же не каталисты стоят. Или масштабы всбесившихся свичей в сети были настолько серьезными, что пришлось бордер перегружать (ну или рестартовать BGP процесс)?
Расскажи немного технических подробностей, что именно у вас произошло, ну что можешь конечно.

huko

07 апреля 2018, 20:56
↓

Тоже интересно…

zajavitel

07 апреля 2018, 21:36
↑
↓

По-хорошему, какая разница, что у них там произошло? Клиенты, которым нужен сервис 24-7-365, заводят себе линки от 2-3 провайдеров + обязательно гарантированное электропитание. Всем остальным, да — танчики, одноклассники и прочие форумы с яндексами. Другое дело, что мало провайдеров имеют хорошую практику пересчитывать клиента в плюс за время своего даунтайма.

reticon

07 апреля 2018, 21:52
↑
↓

Мы пересчитываем. Будет опубликовано на сайте.

Framer

07 апреля 2018, 22:23
↑
↓

Ну тут вы как всегда правы, но все что вы перечислили есть в дата центре))) в котором и ставится подобное оборудование которому и необходимо пресловутое 24/7/365)))
А если для дома то даже 2я категория эл снабжения у физиков редкость )))
А тут бы первую особую и линки Особенно если учесть то оборудование может стоять в частном доме)))

zajavitel

07 апреля 2018, 22:52
↑
↓

Ну вот я и говорю — не так долго провайдер лежал, чтобы набрасывать тут на вентиляторы. Посидели без интернета без танчиков с однокласнегами, побухтели, получат компенсацию от прова. Ничего страшного)))

reticon

07 апреля 2018, 22:56
↑
↓

Мы тут общаемся между собой. Некоторые операторы ещё и сегодня лежат…

Framer

07 апреля 2018, 23:10
↑
↓

Наверное лежат те у кого копий конфигов не было

zajavitel

07 апреля 2018, 23:52
↑
↓

Вообще с вечера пятницы надобно на дачу выезжать и потихоньку начинать работать )))
РТ сутками бывало лежал из за аварий на оптике… и ПППоЕ сервак их падал часто

zajavitel

07 апреля 2018, 23:51
↑
↓

Это в пределах норм…

zajavitel

08 апреля 2018, 00:09
↑
↓

У нас как-то недавно домашний интернет от Билайна вообще лежал пару-тройку дней. При звонке на саппорт, после издевательств роботов, добравшись до 1-й линии можно было услышать один только ответ, дословно — проблема глобальная, работы по восстановлению ведутся. Починили, ничего страшного за время непредоставления услуги не произошло. А вот то, что они никакие плюхи не предложили за это клиентам — тут они мудраки))

reticon

07 апреля 2018, 23:04
↑
↓

Помните был случай когда билайн в сочи лег на неделю или больше… лет 5-7 назад это было

zajavitel

07 апреля 2018, 23:54
↑
↓

Это все меркнет на фоне того, когда в горах ЛЭП порвало и весь город на 2 недели вымер…

reticon

07 апреля 2018, 23:56
↑
↓

Чей это вымер, нам свет давали по ночам часиков с 12 и до 6-8 утра)))
А с опорами так бывает что при падении одной остальные может тянуть каскадом…

zajavitel

08 апреля 2018, 00:08
↑
↓

Я тогда еще не был клиентом Билайна, поэтому не следил за их качеством обслуживания)

reticon

07 апреля 2018, 23:57
↑
↓

Вот тогда от билайна люди уходили толпами…
Билайн не мог даже сроки устранения назвать…
Говорят легки коммутаторы в домах…

zajavitel

08 апреля 2018, 00:03
↑
↓

Всем остальным, да — танчики, одноклассники и прочие форумы с яндексами.

Да хоть порнохабы с котиками — это их личное дело и не фирме оказывающей услуги (в данном случае — некачественно) их в этом осуждать:)

XoDok13

08 апреля 2018, 07:32
↑
↓

«Я не читал Пастернака, но считаю, что советский писатель должен издаваться сначала в СССР»

Framer

08 апреля 2018, 09:33
↑
↓

Т.е. для вас не существует форс-мажора? Это была проблема мирового уровня. В России проблемы коснулись 30% провайдеров. И кстати по нашим новостям тишина.

misha

08 апреля 2018, 09:42
↑
↓

Привет, Коля!

Первым делом подумали на бордер, поскольку до этого нас 4 дня досили, а разруливали мы это именно на бордере. Подумали что это очередной ддос, только с другим таргетом. Там делали изоляцию, блэкхолили, ставили ACL. Очевидно поэтому и колбасило. Позже стало ясно, что проблема в каталисте 4500x, который ребутнулся и тупо прикинулся шлангом. После восстановления конфига, минут через 5, он опять ребутнулся и прикинулся шлангом. За это время удалось проанализировать логи, там было про smart install и переполнение памяти. Начали гуглить, нашли про эту уязвимость. Лечится одной командой no vstack.

Сегодня история получила своё продолжение, Циска начала отмазываться и выбрала стратегию типа «сами виноваты», вот например появилась фееричная статья на Хабре:Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install

Я им там задал вопросы, но они до сих пор не прошли премодерацию и видимо не пройдут. Вот они:

Framer

07 апреля 2018, 22:38
↑
↓

Это называется с больной головы на здоровую или лучшая защита это нападение…

zajavitel

07 апреля 2018, 23:17
↑
↓

прочитал их новость, как я понимаю в системе была открыта возможность абсолютно с любого адреса занонектиться с железяки при помощи их же ПО для настройки, при этом можно было выгружать и загружать образы ОС в железку…
И такой недостаток ОС из коробки они назвали проблемой пользователя это жестко…
У любого роутера Длинка вэб морда окрыта только с локалки…

zajavitel

08 апреля 2018, 00:01
↑
↓

Да, видел твой коммент про ддос на гиктаймс.
Короче вам «фартануло» — на фоне ваших разборок с ддосом сюрприз в виде каталиста который превратился в тыкву это конечно еще тот подарочек, сочувствую… Кста, ддос сильный был? Что-то конкретное ложили или все подряд заливали и как себя аплинки ведут при таких внештатных ситуациях или мощность была такая что решили своими силами разрулить?

huko

08 апреля 2018, 00:15
↑
↓

Сочикамеру, ДНС, один из нат-серверов. Оценочно сила атаки гигов 40 была в пике. Это всё достаточно быстро изолируется через bgp community. Мы теперь скилы прокачали. В первую атаку (2 апреля) достаточно некомфортно было.

Framer

08 апреля 2018, 00:20
↑
↓

Интересно у Ростелекома с Билайном Сиськи есть? Если есть, то почему интернет был? Если нет, то всё равно интернет есть! Парадокс!

eugene-fly

07 апреля 2018, 22:27
↓

скорее всего конфиги были перенастроены

zajavitel

07 апреля 2018, 23:18
↑
↓

У Ростелекома тоже пропадал Интернет

redbull

08 апреля 2018, 08:09
↑
↓

Вот как раз вчера целый день смотрел ТВ онлайн с сайта. Да, были задержки на 1-2 минуты пару раз. Но это обычное дело.

eugene-fly

08 апреля 2018, 09:34
↑
↓

Пару часов без интернета и уже у многих подгорело!))
Провайдер исправил чужой вред, извинился, но у кого-то от человеческого отношения к ним же прям рвота началась.

Skif

07 апреля 2018, 22:32
↓

Ну а вдруг там у кого танк за это время угнали? Танк! Из ангара! Видели это видео? Там еще в конце девушка в лицо получила. Бизнес Связи еще повезло, что таких клиентов у них нет. А то пришел бы в офис и службу поддержки положил бы. )))

stroitel

08 апреля 2018, 11:13
↑
↓

Это конечно хорошо что вы такие молодцы и починили быстро и все такое. Вот только когда пропадает интернет, дозвониться вообще нереально (звонок сбрасывается даже до приветствия) и нет никакой информации. И это в коммуникационной компании! У вас в распоряжении масса каналов, которые можно использовать для экстренного оповещения — соцсети, телеграмм, твиттер, электропочта и т.д. Именно отсутствие ответа бесит людей, которые платят деньги за услугу и хотят ее получить в полном объеме. Но эти же люди вполне лояльно отнесутся к вам, если вы повернетесь к ним лицом и скажете «у нас проблемка, пожалуйста подождите». Просто посмотрите на конкурентов, Билайн при аварии в голосовом сообщении говорит «у нас проблема, звонков много, ожидаемое время 1 час, пожалуйста подождите». И все, человек спокоен.

braind

08 апреля 2018, 12:01
↓

Верно, мы этим занимаемся.

Framer

08 апреля 2018, 12:09
↑
↓

Абсолютно верно!
В тех же электосетях. Нет света. Одно дело когда сидишь и не знаешь когда он появится. Идти заводить генератор, не идти, когда идти...??? Другое дело — позвонил, тебе ориентировочное время устранения аварии сказали (пусть и очень примерное), но ты уже спокоен, проблемой занимаются! О ней знают!

D-huan

09 апреля 2018, 11:17
↑
↓

Какая мысль информативнная иногда проскакивает в ваших синапсах…
… если конечно расстояние между седлом и стулом, можно считать головным мозгом страны ы ы ы!