sexta-feira, 30 de junho de 2017

Vulnerabilidade SNMP nos switches Cisco


Pessoal, a Cisco anunciou um boletim de segurança informando diversas falhas críticas no serviço de SNMP dos sistemas IOS e IOS XE, permitindo possíveis exploits para conseguir o controle dos sistemas informados.



O problema dessa falha é que ela afeta todas as versões SNMP (1, 2c e 3)  podendo causar buffer overflow na caixa  (na versão 2 basta saber a comunity, ja na v3 tem que ter credenciais válidas) e também afeta todos os equipamentos que não forem atualizados com o hotfix que a Cisco irá disponibilizar nos próximos dias, segue algumas MIBs vulneráveis:

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB

Uma solução de contorno até o momento é desabilitar as MIBs informadas, porém a solução definitiva é a instalação do release mesmo.

Link:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

Pra quem acompanha o blog vai perceber que já é a terceira falha grave de segurança nos equipamentos Cisco, eles já podem pedir música no Fantástico kkkk

Abraços

sexta-feira, 16 de junho de 2017

Programa Cisco Cybersecurity



Galera, vou mostrar como funciona o treinamento disponibilizado pela Cisco (scholarship), lembrando que estamos com um grupo no Telegram disponibilizando alguns materiais e dicas extras.




Valeu pessoal.

quarta-feira, 14 de junho de 2017

Ferramentas de Cybersecurity



Pessoal, estou trazendo uma série de ferramentas utilizadas pelos analistas de security/cybersec e no mercado em geral, a grande maioria é Open Source (grátis) basta baixar e testar, algumas possuem versão grátis e versões pagas.

Ferramentas de captura de pacotes

Cisco IOS Router e Cisco ASA (http://www.cisco.com/) também podem executar a captura de pacotes.

Netsniff-ng (http://netsniff-ng.org/) é um kit de ferramentas de rede Linux gratuito que inclui captura e reprodução de pacotes usando pcap.

Sniffit (http://sniffit.sourceforge.net/) é um sistema de sniffer distribuído, que permite aos usuários capturar o tráfego de rede de uma máquina única usando um aplicativo client gráfico. Este recurso é muito útil em redes com switches, onde os sniffers tradicionais só permitem aos usuários sniffar seu próprio tráfego de rede.

Tcpdump (http://www.tcpdump.org/) é um poderoso analisador de pacotes de rede para Linux que pode ser usado para depuração em rede e monitoramento de segurança. O WinDump permite que você tenha a mesma funcionalidade que tcpdump em um ambiente Windows. O Tcpdump imprime uma descrição do conteúdo dos pacotes em uma interface de rede que corresponde à expressão booleana. Também pode ser executado com o sinalizador -w, o que faz com que ele salve os dados do pacote em um arquivo para análise posterior e / ou com o sinalizador -r, o que faz com que ele leia de um arquivo de pacote salvo em vez de ler pacotes A partir de uma interface de rede. Em todos os casos, somente os pacotes que correspondem à expressão serão processados ​​pelo tcpdump.

T-Shark (http://www.wireshark.org/docs/man-pages/tshark.html) é um analisador de protocolo de rede. Ele permite que você capture dados de pacotes de uma rede ao vivo ou leia pacotes de um arquivo de captura previamente salvo, imprimindo uma forma descodificada desses pacotes para a saída padrão ou escrevendo os pacotes para um arquivo. O formato de arquivo de captura nativo do T-Shark é o formato libpcap, que também é o formato que é usado por tcpdump e várias outras ferramentas.

Wireshark (http://www.wireshark.org/) é um analisador de protocolo de rede GUI que permite capturar arquivos de pacotes de uma rede em tempo real ou de um arquivo de captura previamente salvo.

O Microsoft Message Analyzer (https://www.microsoft.com/en-us/download/details.aspx?id=44226) é uma nova ferramenta para capturar, exibir e analisar o tráfego de mensagens de protocolo, eventos e outros sistemas ou aplicativos , mensagens na solução de problemas de rede e outros cenários de diagnóstico. O Message Analyzer também permite que você carregue, agregue e analise dados de registros e arquivos de rastreamento salvos.

Scanners de rede

O NMAP (http://www.nmap.org/) é um utilitário de licença livre e de código aberto (licença) para descoberta de rede e auditoria de segurança.

OpenVAS (http://www.openvas.org/) é um conjunto de varredura de vulnerabilidade de código aberto que cresceu a partir de um garfo do motor Nessus quando foi comercializado.

Ferramentas de teste da Web

O Burp Suite (https://portswigger.net/burp/) é uma plataforma integrada que pode ser usada para executar testes de segurança de aplicativos da web - versões gratuitas e pagas estão disponíveis.

Nikto2 (https://cirt.net/Nikto2/) é um scanner de servidor web de código aberto que realiza testes abrangentes contra servidores web para vários itens, incluindo mais de 6400 arquivos potencialmente perigosos e CGIs. Nikto verifica versões desatualizadas de mais de 1200 servidores e problemas específicos da versão em mais de 270 servidores.

OWASP Mantra (http://www.getmantra.com/) uma estrutura de segurança baseada no navegador, inclui uma seleção de ferramentas integradas e on-line que podem ser usadas para teste de penetração e testes de aplicativos da web.

OWASP Mutillidae II (https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project) é uma aplicação web livre, de código aberto, deliberadamente vulnerável, fornecendo um alvo para os entusiastas da segurança na web. Mutillidae pode ser instalado em Linux e Windows. Mutillidae II é um ambiente de hacking web fácil de usar, projetado para laboratórios, entusiastas da segurança, salas de aula e metas de ferramentas de avaliação de vulnerabilidades.

 Cracks de senha

Cain e Abel (http://www.oxid.it/cain.html) é uma ferramenta de recuperação de senha baseada no Windows que pode ser usada para capturar e monitorar o tráfego de rede para senhas e crack em senhas criptografadas usando vários métodos.

John the Ripper (http://www.openwall.com/john/) é um cracker de senha rápida, disponível para muitos distros do Unix, Windows, DOS e OpenVMS. Essas ferramentas suportam vários tipos de hash de senha.

L0phtCrack (http://www.l0phtcrack.com/) é uma ferramenta que é usada para quebrar senhas do Windows de hashes, que podem obter (acesso apropriado) de estações de trabalho independentes, servidores em rede, controladores de domínio primários ou Diretório ativo. Às vezes, pode snifar as hashs offiline. Ele também possui vários métodos de geração de suposições de senha (dicionário, força bruta e assim por diante).

Ophcrack (http://ophcrack.sourceforge.net/) é um cracker de senha Windows gratuito baseado em rainbow tables. É uma implementação muito eficiente de rainbow tables que são feitas pelos inventores do método. Ophcrack vem com uma GUI e é executado em várias plataformas.

Ferramentas de teste de penetração

O BackTrack (http://www.backtrack-linux.org/) é uma distribuição Linux inicializável e gratuita que contém muitas ferramentas de código aberto para segurança de rede e testes de penetração. As ferramentas são organizadas em diferentes categorias, como coleta de informações, avaliação de vulnerabilidades, ferramentas de exploração e escalonamento de privilégios. Backtrack já não está sendo mantido; Ele foi transferido para o Kali Linux.

Kali Linux (https://www.kali.org/) é uma distribuição Linux que agrega milhares de pacotes de software gratuitos. A seção não gratuita do Kali Linux contém várias ferramentas que não são de código aberto, mas que foram disponibilizadas para redistribuição pela Offensive Security através de acordos de licenciamento padrão ou específicos com os fornecedores dessas ferramentas.

O Metasploit Framework (https://www.metasploit.com/) é um conjunto de ferramentas abrangente que pode testar todos os aspectos da segurança com foco ofensivo.

IPS / IDS

Bro (http://bro-ids.org/) é uma estrutura de análise de rede que é diferente do IDS típico.

OSSEC é um sistema de detecção de intrusão baseado em host que suporta várias plataformas, incluindo Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac e VMware ESX. OSSEC é fácil de configurar e configurar, e é totalmente aberto e gratuito.

Snort (http://www.snort.org/) é um sistema de detecção e detecção de intrusão de rede de código aberto (IPS / IDS) desenvolvido pela Sourcefire. Combinando os benefícios da assinatura, protocolo e inspeção baseada em anomalias, a Snort é a tecnologia IDS / IPS mais amplamente implantada em todo o mundo. Com milhões de downloads e mais de 500.000 usuários cadastrados, o Snort tornou-se o padrão de mercado para IPS.

Suricata (http://www.openinfosecfoundation.org/index.php/download-suricata) é um Next Generation Firewall de Código Aberto. A Suricata é de código aberto e de propriedade da Open Information Security Foundation (OISF), uma base de lucro sem fins lucrativos baseada na comunidade.

Ferramentas de monitoramento de segurança de rede

Security Onion (https://securityonion.net/) é uma distribuição de monitoramento de segurança de rede aberta. Security Onion é fácil de se configurar, com um esforço mínimo, você começará a detectar eventos relacionados à segurança em sua rede. Detectar tudo, desde a força bruta, scriptkids, e APTs desagradáveis. A Security Onion contém ferramentas como Snort, ELSA, Xplico e NetworkMiner. O assistente de configuração embutido torna fácil de usar.

Sguil (http://sguil.sourceforge.net/) é uma GUI intuitiva que fornece acesso a eventos em tempo real, dados de sessão e capturas de pacotes. O Sguil facilita a prática de monitoramento de segurança de rede e análise baseada em eventos. O cliente Sguil está escrito em tcl / tk e pode ser executado em qualquer sistema operacional que suporte tcl / tk (incluindo Linux, BSD, Solaris, MacOS e Win32).

ELSA (https://github.com/mcholste/elsa/) é uma estrutura de syslog centralizada que é baseada em pesquisas de texto completo Syslog-NG, MySQL e Sphinx que fornece uma interface de consulta totalmente assíncrona baseada em web que normaliza logs e faz pesquisas em  bilhões deles para strings arbitrárias tão fácil quanto procurar na web. Ele inclui ferramentas para atribuir permissões para visualizar os logs e alertas baseados em e-mail, consultas agendadas e gráficos.

Splunk Enterprise (http://www.splunk.com/) é uma plataforma para inteligência operacional em tempo real. O Splunk é a maneira fácil, rápida e segura de pesquisar, analisar e visualizar os fluxos maciços de dados de log que são gerados pelos sistemas de TI e infra-estrutura tecnológica: física, virtual e na nuvem. A licença de versão gratuita permite indexação de até 500 megabytes de dados por dia.

Ferramentas de inteligência de segurança

O Talos Intelligence Group é constituído por pesquisadores líderes de ameaças que são suportados por sistemas sofisticados para criar inteligência de ameaças para produtos da Cisco que detecta, analisa e protege contra ameaças conhecidas e emergentes. O Talos Intelligence Group mantém os conjuntos oficiais de regras de Snort.org, ClamAV, SenderBase.org e SpamCop. (Referência: blog do Talos Intelligence Group, http://www.talosintelligence.com, http://blogs.cisco.com/talos.)

O CVSS (https://www.first.org/cvss/) é um padrão comercial gratuito e aberto para avaliar a gravidade das vulnerabilidades de segurança do sistema informático. A versão atual do CVSS (CVSSv3.0) foi lançada em junho de 2015.

OWASP (https://www.owasp.org/) é uma comunidade aberta que se dedica a permitir que as organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis. Todas as ferramentas, documentos, fóruns e capítulos da OWASP são gratuitos e abertos para quem está interessado em melhorar a segurança das aplicações. Os defensores da OWASP estão abordando a segurança do aplicativo como um problema de pessoas, processos e tecnologia, porque as abordagens mais efetivas para a segurança do aplicativo incluem melhorias em todas essas áreas.

VirusTotal (https://www.virustotal.com/) é uma subsidiária do Google. VirusTotal é um serviço on-line gratuito que analisa arquivos e URLs que permitem a identificação de vírus, worms, trojans e outros tipos de conteúdo malicioso detectados por mecanismos de antivírus e scanners de sites.