ριиg σr ρσиg ?

[levend]

Pong
Il y a au moins un an que je cherchais le CD du logiciel pour ma CNC, et il y a quelques jours je l'ai retrouvé dans une pochette papier bien rangé entre une boite et le montant de l'étagère. Je l'avais rangé pour ne pas l'abimer, il ne risquait rien où il était, même pas d'être retrouvé facilement.

Je vais pouvoir refaire des essais avec ma CNC.

[Ryu_wm]

Pong
https://www.quechoisir.org/actualite-in ... e-n105079/

on en parle un peu partout en ce moment.
Avec un opérateur virtuel je pensais passer à travers (par d'infrastructures donc pas de "hausse du coût de l'énergie") mais en fait les opérateurs répercutent aussi vers les opérateurs virtuels qui répercutent sur les clients.
Pour ma part +5% ce mois-ci.

Dans deux mois augmentation abo internet Orange à venir.

plop
courriel d'Orange, augmentation +1€ dès avril.

[jm@rc]

Ping!

Deuxième vague d'attaque sur les ESXi... Elle rend caduque la méthode de récupération possible de la première attaque !

[dsebire]

pong

et apparemment, elle passe pas par SLP vu que des systèmes avec le service désactivés ont été touchés :/

[Ryu_wm]

ping

Quand ESXiArgs infecte une machine virtuelle, il lance un script « encrypt.sh » pour rechercher des fichiers avec certaines extensions (.vmdk, .vmx, .vmsd, .vmxf, .vmsn, .vswp, .vmss, .nvram, .vmem). Pour chaque fichier, le script vérifie sa taille. Si elle est inférieure à 128 Mo, il chiffre l’ensemble du fichier par incrément de 1 Mo. Pour les fichiers de plus de 128 Mo, il calcule un « size step » (dont la formule est size_step=((($size_in_kb/1024/100)-1)), un saut en fonction de la taille où le ransomware alterne le chiffrement de 1 Mo de données et le non-chiffrement d’autres morceaux. Grâce à ce dernier point, des chercheurs ont conçu une méthode de récupération des VM. Cette méthode a ensuite été automatisée par la CISA.

L’analyse des échantillons de la seconde vague d’attaques montre que le mode de calcul « size step » a été supprimée du script de chiffrement en le plaçant à 1. Cela signifie que beaucoup plus de données sont chiffrées, rendant caduc l’outil de récupération.

However, even more concerning, the admin who shared the new samples said they had SLP disabled on their server but were still breached again. They also checked for the vmtool.py backdoor seen in previous attacks, and it was not found.

With SLP disabled, it becomes even more confusing as to how this server was breached.

[biour]

Pong
https://www.quechoisir.org/actualite-in ... e-n105079/

on en parle un peu partout en ce moment.
Avec un opérateur virtuel je pensais passer à travers (par d'infrastructures donc pas de "hausse du coût de l'énergie") mais en fait les opérateurs répercutent aussi vers les opérateurs virtuels qui répercutent sur les clients.
Pour ma part +5% ce mois-ci.

Dans deux mois augmentation abo internet Orange à venir.

plop
courriel d'Orange, augmentation +1€ dès avril.

pareil, et sans contrepartie.
Pokg

[Ryu_wm]

pink

ptdr, ce matin je vois que le logiciel de messagerie a laissé passer un spam.
Je clique dessus pour le supprimer et du coup je vois le contenu, la photo bien pourrie attire mon attention ainsi que la formulation de la phrase.
https://nasts-srv1.myftp.org/smp/20230212_1.png

par curiosité je cherche à savoir si l'allégation est vraie.
On est à des années lumière de ça
https://nasts-srv1.myftp.org/smp/20230212_2.png

plus sérieusement je me demande si c'est le début de l'effet "fin de la bulle spéculative sur le droit à polluer" qui bénéficiait largement à cette marque.

[biour]

ah oui reçu un aussi pour la même marque mais pas ouvert

[gizmo78]

Ryu : t'as l'effet musk rachète twitter et fait de la merde aussi l'action a perdue 63% un truc du genre depuis qu'il a fait ça et ces conneries suivantes

[dsebire]

pong,

sont vraiment cons les clients !
ça fait des mois qu'une rocade fibre (doublée) a perdu sa redondance.
soucis de connecteur HS.
celui qui a posé ça est censé intervenir depuis des mois.
mais tout le monde s'en fout puisque redondé et ça continue de marcher (merci moi)

le seul qui râle c'est moi (qui du coup passe pour un chieur vu que ça marche)

devinez quoi ???? !!!!

et oui, la seconde fibre est tombée cette nuit.

et bien sur je me fait engueuler parce que plus rien ne marche et qu'il faut trouver une soluce pour hier.

j'ai tout envoyé chier

[gizmo78]

ouais alors ça... classic shi* mais c'est pénible d'être le seul à se battre sur des sujets comme ça...

j'avais remonté à un client que dans les logs de l'appli, on avait TOUTES les infos en clair et que bon, rgpd tout ça, réponse "oui on sait mais bon, c'est pas grave c'est que des logs".

la volonté de dénoncer le truc était forte mais ma position oblige, je me suis retenue.

ping

[dsebire]

j'ai fait un mail au PDG de la boite avec mes relances et les "osef" des opérationnels
et expliqué pourquoi du coup je ne pouvais rien faire et que je ne pouvais être tenu pour responsable.

et j'en ai profité pour dénoncer le contrat en anticipé (et surtout sans préavis comme prévu dans le contrat) pour rupture d'une des clauses de leur part.

du coup, ils vont être encore plus dans la merde.
pour l'instant, j'ai pas eu de retour, mais je pense que ça doit chauffer pour certains (les pertes opérationnelles commencent a chiffrer sévèrement)

pong

[Ryu_wm]

pong,

sont vraiment cons les clients !
ça fait des mois qu'une rocade fibre (doublée) a perdu sa redondance.
soucis de connecteur HS.
celui qui a posé ça est censé intervenir depuis des mois.
mais tout le monde s'en fout puisque redondé et ça continue de marcher (merci moi)

le seul qui râle c'est moi (qui du coup passe pour un chieur vu que ça marche)

devinez quoi ???? !!!!

et oui, la seconde fibre est tombée cette nuit.

et bien sur je me fait engueuler parce que plus rien ne marche et qu'il faut trouver une soluce pour hier.

j'ai tout envoyé chier

ça arrive ici aussi
En ce moment j'ai un rôle 'sécurité' sur un serveur 'assez critique' qui fonctionne encore mais qui a décidé de ne plus pondre de logs.
comme ce rôle est tripartite, les deux homologues nous renvoient la balle. Résultats pour certains incidents nous sommes aveugles.
Malgré un compte rendu officiel aux étages supérieurs , tout le monde s'en tape. Mais je sais qui va devoir pédaler quand ça va merder.

[Dodo29]

pong

Ping!

Deuxième vague d'attaque sur les ESXi... Elle rend caduque la méthode de récupération possible de la première attaque !

Si je dis pas de connerie, cette faille est corrigée dans les patchs récents ?

Ce que je comprends pas, c'est que la première vague a causé pas mal de panique mais à priori certains n'ont toujours pas compris la nécéssité de patcher.

Déjà : autant que possible, on n'expose pas les interfaces de management à l'extérieur (Surtout quand on a beaucoup de machines et de la donnée de prod importante dessus).
Et ensuite, même si je sais que "ouai mais c'est chiant de patcher, faut rebooter le host et tout". Ben à ça je réponds que ouai mais si t'es une grosse boite qui se donne un minimum de moyens t'as un vCenter avec HA et vMotion. Donc tu ventiles tes VM, tu passes en maintenance et go.
Sinon, si t'es plus modeste, et clairement y'a aucun mal à ça, ben tu verras que passer 1h à patcher ça te prendra moins de temps et de sueur que te taper un crypto.


Perso dès que j'ai vu ça, le soir j'ai patché mes 2 esxi (prod et lab) direct sur la dernière version.
Mes interfaces sont pas exposées alors je sais pas si j'étais à risque, mais dans le doute.

[dsebire]

+10000

ping

[jm@rc]

Pong

Nous on essaye de maintenir tous nos systèmes à jour le plus souvent possible. C'est contraignant, ça n'est pas possible avec certains logiciels de gros éditeur qui sont parfois un peu lents au niveau des évolutions liées à la sécurité, mais pour l'instant ça fonctionne plutôt pas mal. Et puis avec la virtualisation, tu poses ton snapshot, tu testes et suivant le résultat tu commit ou tu fais un rollback. Et je te rejoins aussi Dodo29, c'est pas la même à boire de patcher des ESXi. Surtout, suivant les licences, tu as parfois VUM qui te facilite encore plus la vie pour patcher tes hôtes.

[dsebire]

ping,

de ce que j'ai compris c'est toujours (ou presque) des machine en stand-alone, sans vcenter ni rien.
donc plutôt des petites boites, ou une indispo de 1h doit pas être catastrophique pour lancer un patch

je pense que c'est surtout par méconnaissance ou excès de confiance que c'est pas patché (c'est la première grosse attaque sur esx)

c'est dommage pour ceux qui se sont fait avoir, mais ça fait une grosse piqure de rappel que potentiellement n'importe quel système est vulnérable et doit être maintenu.

je ne compte plus le nombre de client que j'ai repris ou des serveurs n'étaient pas mis a jour depuis parfois plusieurs années
"tant que ça marche on touche pas"

bah ouais, mais sauf qu'après ya une telle dette technique que ça coute un bras à remettre d'aplomb.
soit parce que tout est à refaire soit parce que ça a été hacké

c'est pt'etre égoïste/dégueulasse etc... mais j'ai aucun scrupule a en profiter (je facture au prix fort)

c'est comme quand OVH a cramé. j'en ai récupéré quelques uns qui avaient tout paumé (les clients qui ont redémarré en 2h on fait la pub pour moi).
sortez la planche a billets, j'arrive !

[Ryu_wm]

pong

Si je dis pas de connerie, cette faille est corrigée dans les patchs récents ?

j'ai cru comprendre que non :

However, even more concerning, the admin who shared the new samples said they had SLP disabled on their server but were still breached again. They also checked for the vmtool.py backdoor seen in previous attacks, and it was not found.

With SLP disabled, it becomes even more confusing as to how this server was breached.

Déjà : autant que possible, on n'expose pas les interfaces de management à l'extérieur (Surtout quand on a beaucoup de machines et de la donnée de prod importante dessus).

ben ça me choquait aussi viewtopic.php?p=335323#p335323

[dsebire]

ping,

le script de la backdoor est supprimé du disque par le script.
mais il tourne toujours.

si ya pas eu de reboot, le script continue de tourner....

il est visible en cherchant les process. quelques uns se sont fait avoir comme ça.

[Dodo29]

ping

ouai en somme on est tous un peu d'accord sur le sujet,
Grosses boites, venez pas râler, vous n'étiez pas dans les clous
Petites boites, il faudrait améliorer la veille techno, mais ayant travaillé dans ce type d'environnement je comprends qu'on est toujours un peu solicité de partout et pas toujours le temps de s'occuper de ce genre d'actions, qui souvent nécéssite un HNO pour pas impacter la prod.

Après de ce que j'ai lu, la faille impacte aussi vCenter dans les versions concernées (6.x), mais si le patch résout pas le pb, la solution est toute simple : fermer les robinets qui mènent aux interfaces d'admin (peu importe le moyen, SSH, SLP, Web, etc...). L'administration ça se fait en interne, point. Ca j'arrive définitivement pas à comprendre.
A la limite un dédié standalone type OVH, Scaleway, etc..., comme a dit dsebire, qui a juste une interface qui est exposé, en extrapolant je peux comprendre (même si, aujourd'hui on a des moyens de verrouille ça et monter un wireguard ou une machine de rebond sécurisée, mais je comprend que c'est de la bidouille et souvent pas supporté par l'éditeur).

[Ryu_wm]

pong
+1

@Dsebire : ok je comprends ! C'est couillon ^^

[dsebire]

A la limite un dédié standalone type OVH, Scaleway, etc..., comme a dit dsebire, qui a juste une interface qui est exposé, en extrapolant je peux comprendre (même si, aujourd'hui on a des moyens de verrouille ça et monter un wireguard ou une machine de rebond sécurisée, mais je comprend que c'est de la bidouille et souvent pas supporté par l'éditeur).

ping,
c'est surtout casse gueule !
si la VM qui fait "proxy" ne démarre pas, ou si t'es obligé de passer en mode maintenance (pour faire les MAJ "proprement") bah t'as plus moyen de joindre la bécane.
par contre, ya moyen de n'autoriser qu'une liste d'IP à joindre les services au niveau du firewall dans esxi. c'est ce que je fais systématiquement.
pas parfait, mais acceptable (faut avoir confiance dans le firewall quoi)

[Dodo29]

Pong
Ouai je pensais plus à quelque chose directement sur le host (comme en standalone).

Pour ça que si je devais reprendre un dédié, je prendrais un elastic metal chez Scaleway et je l’ajouterai au Vnet avec une instance stardust (2,38€ TTC/mois) pour l’administration / rebond via tunnel ssh

[Dodo29]

ping

j'suis un connard c'est définitif. J'ai commandé un adaptateur nvme pour ajouter un ssd dans mon esxi. Je le reçois, je le monte et j'en profite pour virer une CG qui sert à rien (je la passe plus à une VM). Mais en la virant j'ai su racler un peu le dos de la LSI megaRAID, parce qu'au moment de rebooter : AH ! Plus les VMFS HDD et les VM qui étaient dessus. Je voyais plus le controleur.

Passé 20 minutes à essayer de comprendre avant de me dire que ça peut être cool de regarder l'état de la carte. Et en effet comme un con, en bidouillant, j'ai déssoudé une résistance Et BIEN SUR, bon électronicien que j'étais j'ai pas de fer à souder !

Donc bécane de prod en vrac la soirée s'annonce bien !

Puis le flash, je me souviens que dans mon esxi de lab j'ai la même LSI (J'ai eu du nez de garder des cartes de spare à l'époque ) DONC, je peux les swap et importer la foreign conf dedans

Ca m'a sauvé la soirée (et le W-E surement aussi).

Bon par contre faut quand même que j'achète un fer à souder pour souder cette résistance, remonter la carte RAID dans le x3650 de lab, réimporter la conf. Mais ça, c'est pour plus tard.

[biour]

Ping, prend un ts100 par exemple, petit et facile à utiliser