Für den supergeheimen „xtd-cli-mode“, den man braucht um einen OfficeConnect 1950 vernünftig am CLI (via SSH) zu verwalten, gibt es ein noch viel geheimeres Kennwort. Wir haben keine Ahnung warum.
Phishing von Microsoft 365 Nutzern oder Google Business-Accounts sind schon länger Teil der normalen Tagesordnung. Herumschlagen mit erfolgreichem Phishing ist für die IT leider ebenfalls normal. Nicht weil die Admins ihr Opsec nicht beherrschen, sondern fast immer wegen stumpfer Benutzer. Zuhr Ehrenrettung: Angriffe werden wirklich immer besser. Angreifer nutzen echte gestohlenen E-Mails, echte Postfächer und hervorragend geschriebene (KI-Unterstütze) Texte.
Es gibt aber auch noch die absolute und totalresistente Stumpfheit. 🦍
Die Geschichte mit dem Fax
Story as usual: Account wurde „gehackt“, vollumfänglich mißbraucht. Viele neue Phishing-Mails wurden verschickt (nach ~200 Mails schritt der Defender ein), OneDrive-Links mit Malware versendet, OneNote-Pages mit Phishing-Formularen veröffentlich, Office-Forms erstellt, also das „übliche“.
Weil der Nutzer einer E-Mail gefolgt war. Im Anhang der Mail ein PDF-Dokument mit einem schwarz-weiss-Screenshot (!) des Microsoft 365 Logins. Er druckte die Mail aus (wie angegeben), füllte diese mit Kugelschreiber aus (wie angegeben) und faxte (!) das Dokument mit seinen Zugangsdaten an eine US-Telefonnummer (wie angegeben) zurück.
Keine 12 Stunden später wurde der Account „gehackt“.
Wir dachten bisher, schon vieles gesehen zu haben. DAS war aber auch uns auch neu 😂
HPE Aruba (managed) Switches sowie HPE ProCurve Switches kommen im Auslieferungszustand ohne NTP-Einstellungen. Genauer gesagt mit inaktivem NTP-Modul. Das Eventlog (log -r) zeigt daher ab stets das „erste“ Datum 01.01.1980 an und die Syslogs sehe immer etwas wirsch aus.
Das hier ist wieder so eine „Notiz an uns selbst“, denn wenn man weiß wo es steht ist das ja schon fast gewusst wie es geht.
NTP-Einstellungen Aruba Switches
Konsole zum Switch öffnen (SSH oder Seriell)
HP-2530-24G# configure (In den Config-Kontext wechseln) HP-2530-24G(config)# time daylight-time-rule western-europe (Sommerzeit-Regel aktivieren) HP-2530-24G(config)# time timezone 60 (Die deutsche Zeitzone „MEZ“ ist UTC+60m) HP-2530-24G(config)# timesync ntp (Zeitsynchronisation auf NTP stellen) HP-2530-24G(config)# ntp unicast (NTP unicast aktivieren) HP-2530-24G(config)# ntp server 192.168.x.x iburst (Den NTP-Server konfigurieren und initialen burst aktivieren) HP-2530-24G(config)# ntp enable (NTP Modul einschalten) HP-2530-24G# write memory (Konfiguration in die Startup-Config übernehmen)
NTP auf Aruba Switches testen
Das Ergebnis der Einstellungen kann man nach ein paar Sekunden (schlimmstenfalls Minuten) überprüfen.
Und schon wieder ein Fall von „Notiz an mich selbst“. Jedesmal google ich nach dem Befehl für die Uptime von Switches … vermutlich jetzt nicht mehr. Die „uptime“ ist in der SYSINFO, also in der Lokalen System-Information Tabelle enthalten. Die gibt’s per SNMP und natürlich auch am CLI, also an der Console.
Uptime von ProCurve Switches anzeigen
show system-information
Und so sieht die Ausgabe von system-information aus:
Die „Web Managed“ Smart Switches der OfficeConnect 1920er Serie die die Marketing-Bezeichnung „advanced Smart-Managed“ tragen, sprechen by Default kein SSH und benötigen einen Webbrowser. Dieser darf außerdem kein Chrome sein, weil die Eingabemasken sonst nicht zuverlässig funktionieren.
Das Web GUI ist zwar ansonten halbwegs brauchbar, aber ein Admin würde sich viel eher über ein ganz normales CLI via SSH freuen. Ob die Aktivierung des SSH-Servers einen Einfluss auf die Garantie hat, liegt außerhalb des Zieles dieses Artikels 😉
4. Switch neu starten Device > Device Maintenance > Reboot > „Check whether the current configuration is saved“ ausschalten > Reboot
5. Telnet-Verbindung zum Switch öffnen (ich nutze hier PuTTY) und mit den bestehenden Admin-Daten darin anmelden.
6. SSH via CLI einschalten:
enable
configure
crypto key generate rsa
crypto key generate dsa
exit
ip ssh server enable
ip ssh protocol 2
write memory confirm
quit
7. Switch neu starten
8. Telnet abschalten, dazu wieder per SSH anmelden und Telnet deaktivieren
enable
no ip telnet server enable
write memory confirm
quit
❤️
Wir nutzen Cookies für den Login, Spam-Erkennung, die Betriebssicherheit und für Google AdSense um Geld einzuspielen. Google nutzt völlig übertriebenes Tracking zur Anzeige von "passenden" Anzeigen. Für diese Verarbeitungszwecke werden Cookies mit Geräte-Kennungen und andere Informationen gespeichert und abgerufen. Durch Klicken des „Zustimmen“-Buttons willigen Sie ein, dass Google (und anhängige) in den USA diese Daten verarbeiten darf. Anzeigen und Inhalte werden dort basierend auf dem Profil personalisiert, die Performance von Anzeigen und Inhalten gemessen und Erkenntnisse über Zielgruppen abgeleitet.
Durch das Klicken des „Zustimmen“-Buttons stimmen Sie der Verarbeitung zu.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.