Kategorie-Archiv: hp

Phishing per Fax🤦‍♂️

Veröffentlicht am von Keine Kommentare ↓

Dieser Beitrag kommt „aus gegeben Anlass“.

Phishing von Microsoft 365 Nutzern oder Google Business-Accounts sind schon länger Teil der normalen Tagesordnung. Herumschlagen mit erfolgreichem Phishing ist für die IT leider ebenfalls normal. Nicht weil die Admins ihr Opsec nicht beherrschen, sondern fast immer wegen stumpfer Benutzer. Zuhr Ehrenrettung: Angriffe werden wirklich immer besser. Angreifer nutzen echte gestohlenen E-Mails, echte Postfächer und hervorragend geschriebene (KI-Unterstütze) Texte.

Es gibt aber auch noch die absolute und totalresistente Stumpfheit. 🦍

Kein Witz. Das ist das (nicht ausgefüllte) Fax.

Die Geschichte mit dem Fax

Story as usual: Account wurde „gehackt“, vollumfänglich mißbraucht. Viele neue Phishing-Mails wurden verschickt (nach ~200 Mails schritt der Defender ein), OneDrive-Links mit Malware versendet, OneNote-Pages mit Phishing-Formularen veröffentlich, Office-Forms erstellt, also das „übliche“.

Weil der Nutzer einer E-Mail gefolgt war. Im Anhang der Mail ein PDF-Dokument mit einem schwarz-weiss-Screenshot (!) des Microsoft 365 Logins. Er druckte die Mail aus (wie angegeben), füllte diese mit Kugelschreiber aus (wie angegeben) und faxte (!) das Dokument mit seinen Zugangsdaten an eine US-Telefonnummer (wie angegeben) zurück.

Keine 12 Stunden später wurde der Account „gehackt“.

Wir dachten bisher, schon vieles gesehen zu haben. DAS war aber auch uns auch neu 😂

HPE ProCurve und Aruba Switches NTP Konfiguration und Einstellungen

Veröffentlicht am von Keine Kommentare ↓

HPE Aruba (managed) Switches sowie HPE ProCurve Switches kommen im Auslieferungszustand ohne NTP-Einstellungen. Genauer gesagt mit inaktivem NTP-Modul. Das Eventlog (log -r) zeigt daher ab stets das „erste“ Datum 01.01.1980 an und die Syslogs sehe immer etwas wirsch aus.

Das hier ist wieder so eine „Notiz an uns selbst“, denn wenn man weiß wo es steht ist das ja schon fast gewusst wie es geht.

NTP-Einstellungen Aruba Switches

Konsole zum Switch öffnen (SSH oder Seriell)

HP-2530-24G# configure
(In den Config-Kontext wechseln)
HP-2530-24G(config)# time daylight-time-rule western-europe
(Sommerzeit-Regel aktivieren)
HP-2530-24G(config)# time timezone 60
(Die deutsche Zeitzone „MEZ“ ist UTC+60m)
HP-2530-24G(config)# timesync ntp
(Zeitsynchronisation auf NTP stellen)
HP-2530-24G(config)# ntp unicast
(NTP unicast aktivieren)
HP-2530-24G(config)# ntp server 192.168.x.x iburst
(Den NTP-Server konfigurieren und initialen burst aktivieren)
HP-2530-24G(config)# ntp enable
(NTP Modul einschalten)
HP-2530-24G# write memory
(Konfiguration in die Startup-Config übernehmen)

NTP auf Aruba Switches testen

Das Ergebnis der Einstellungen kann man nach ein paar Sekunden (schlimmstenfalls Minuten) überprüfen.

Zeigt die nun aktuelle Zeit des Gerätes:

HP-2530-24G(config)# show time

Zeigt den Status des NTP-Clients:

HP-2530-24G(config)# show ntp status

Zeigt die vollständige laufende Konfiguration an:

HP-2530-24G(config)# show running config

Uptime von Aruba/HPE/ProCurve Switches anzeigen

Veröffentlicht am von 1 Kommentar ↓

Und schon wieder ein Fall von „Notiz an mich selbst“. Jedesmal google ich nach dem Befehl für die Uptime von Switches … vermutlich jetzt nicht mehr. Die „uptime“ ist in der SYSINFO, also in der Lokalen System-Information Tabelle enthalten. Die gibt’s per SNMP und natürlich auch am CLI, also an der Console.

Uptime von ProCurve Switches anzeigen

show system-information

Und so sieht die Ausgabe von system-information aus:

SSH auf HPE OfficeConnect 1920 Switches einschalten

Veröffentlicht am von Keine Kommentare ↓

Die „Web Managed“ Smart Switches der OfficeConnect 1920er Serie die die Marketing-Bezeichnung „advanced Smart-Managed“ tragen, sprechen by Default kein SSH und benötigen einen Webbrowser. Dieser darf außerdem kein Chrome sein, weil die Eingabemasken sonst nicht zuverlässig funktionieren.

Das Web GUI ist zwar ansonten halbwegs brauchbar, aber ein Admin würde sich viel eher über ein ganz normales CLI via SSH freuen. Ob die Aktivierung des SSH-Servers einen Einfluss auf die Garantie hat, liegt außerhalb des Zieles dieses Artikels 😉

SSH auf OfficeConnect 1920 aktivieren

1. Konfigurationsdatei herunterladen: Device > File Management > „flash:/startup.cfg“ anhaken > Download File

2. Konfigurationsdatei „startup.cfg“ bearbeiten und telnet server enable zur Konfiguration hinzufügen und speichern

3. Diese „neue“ Startup Config hochladen: Device > File Management > Upload File > Flash > Durchsuchen … > Upload (und bestehende startup.cfg überschreiben)

4. Switch neu starten Device > Device Maintenance > Reboot > „Check whether the current configuration is saved“ ausschalten > Reboot

5. Telnet-Verbindung zum Switch öffnen (ich nutze hier PuTTY) und mit den bestehenden Admin-Daten darin anmelden.

6. SSH via CLI einschalten:

enable
configure
crypto key generate rsa
crypto key generate dsa
exit
ip ssh server enable
ip ssh protocol 2
write memory confirm
quit

7. Switch neu starten

8. Telnet abschalten, dazu wieder per SSH anmelden und Telnet deaktivieren

enable
no ip telnet server enable
write memory confirm
quit

HPE macht das Gen10 Service Pack for ProLiant (SPP) Version 2020.03.0 und Vorgänger wieder frei für den Download

Veröffentlicht am von 3 Kommentare ↓

Es geschehen noch Zeichen und Wunder 😃

HPE hat einem Anfall von ungewöhnlicher Admin-Sympathie die HPE Support Packs wieder frei für jederfrau zum Download bereitgestellt.

Man benötigt lediglich einen HPE-Account, keine Supportverträge oder laufende Serverregistrierungen mehr.

Download Link

Außerdem gibt es einen neuen sexy Short-Link zur jeweils aktuellen Version:

Wir finden: Das wurde auch Zeit. Danke HPE das ihr unseren Job damit nun nicht mehr künstlich verkompliziert 😉

Achtung: Das gilt nur für das Gen10 SPP. Dieses beinhaltet auch nur Gen10-relevante Inhalte. Es gibt zusätzlich auch ein SPP (Gen9/Gen10), hierfür ist aber nach wie vor ein/e gültige/r Supportvertrag/Serverregistrierung erforderlich („Entitlement required“).

Die Unterschiede sind aus den jeweiligen Release Notes und dem Contents-Report ersichtlich: