Zarejestruj się na Inna Sieć!
Masz już konto? Zaloguj się

📬 ISN 207: Podatność Cisco, Analiza BGP i Szybkie Triki z GIT-em i Monitoringiem!

207 numer newslettera to praktyczne sztuczki: zarządzanie labem z GIT-a, podatność w urządzeniach Cisco, monitoring HTTP(S), analiza danych BGP i rewolucja w zarządzaniu topologiami sieciowymi — szybkie, techniczne wskazówki i narzędzia.
Rafał Rudewicz
6 min czytania
📬 ISN 207: Podatność Cisco, Analiza BGP i Szybkie Triki z GIT-em i Monitoringiem!

Zarzadząj labem prosto z GIT-a

Containerlab - The Anti-Pattern
Spin up network lab topologies for learning and/or automation using only the lab repository URL thanks to containerlab!
The Gratuitous ArpClaudia de Luna

Containerlab już teraz czyni uruchamianie laboratoriów niemal bezwysiłkowym i w pełni przyjaznym dla automatyzacji. Nie jest więc zaskoczeniem, że zespół poszedł o krok dalej. Co powiesz na uruchamianie laboratorium bezpośrednio z repozytorium GitHub?

Claudia de Luna przygotowała makietę topologii centrum danych w publicznym repozytorium GitHub. Normalnie sklonowałbym repozytorium i wdrożył topologię:

claudia@vps-ovh:~/containerlab$ git clone https://github.com/cldeluna/clab-via-remote.git
Cloning into 'clab-via-remote'...
remote: Enumerating objects: 10, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (7/7), done.
Total 10 (delta 3), reused 10 (delta 3), pack-reused 0 (from 0)
Receiving objects: 100% (10/10), 5.34 KiB | 5.34 MiB/s, done.
Resolving deltas: 100% (3/3), done.

claudia@vps-ovh:~/containerlab$ cd clab-via-remote/

Gdyby Claudia wprowadzi zmiany, wystarczy git pull, a następnie clab deploy:

claudia@vps-ovh:~/containerlab/clab-via-remote$ git pull origin main
From https://github.com/cldeluna/clab-via-remote
 * branch            main       -> FETCH_HEAD
Already up to date.

claudia@vps-ovh:~/containerlab/clab-via-remote$ clab deploy --reconfigure

Wdrożenie laboratorium zajęło 1 minutę 9.096 sekund.

Istnieje jednak prostszy sposób.

clab deploy -t https://github.com/cldeluna/clab-via-remote

Zwróć uwagę, że URL nie wskazuje pliku YAML topologii - tylko URL repozytorium!

claudia@vps-ovh:~/containerlab/github-lab$ clab deploy -t https://github.com/cldeluna/clab-via-remote
19:38:47 INFO Containerlab started version=0.70.2
19:38:47 INFO Parsing & checking topology file=sea_datacenter.clab.yml
19:38:47 INFO Creating docker network name=clab IPv4 subnet=172.20.20.0/24 IPv6 subnet=3fff:172:20:20::/64 MTU=0
19:38:47 INFO Creating lab directory path=/home/claudia/containerlab/github-lab/clab-via-remote/clab-dc1
19:38:48 INFO Creating container name=sea-dc-host4
19:38:48 INFO Creating container name=sea-dc-host2
# <snip>

Wdrożenie laboratorium przez URL repozytorium zajęło 1 minutę 9.967 sekund, czyli całe 871 milisekund wolniej - i to zakładając, że ręcznie pracujesz z laboratorium.

Podatność w urządzeniach Cisco

Ataki DoS lub RCE możliwe poprzez protokół SNMP w urządzeniach Cisco
Dosłownie chwilę temu ostrzegaliśmy o aktywnych podatnościach CVE-2025-20362 i CVE-2025-20333 w Cisco ASA. Teraz firma Cisco informuje o błędzie, który pozwala – za pośrednictwem protokołu SNMP – na DoS (ang. Denial of Service) lub RCE (ang. Remote Code Execution) na produkowanych przez siebie urządzeniach. Podatność otrzymała identyfikator CVE-2025-20352 i wycenę CVSS na poziomie wysokim (7.7).…
SekurakTomasz Turba

Cisco wydało pilne ostrzeżenie dotyczące podatności CVE-2025-20352, która umożliwia ataki DoS i RCE przez protokół SNMP. Zagrożenie jest już aktywnie eksploatowane przez cyberprzestępców.

Podatność otrzymała ocenę CVSS 7.7 (wysoki priorytet). Pozwala ona na przeprowadzenie ataków przez każdą wersję protokołu SNMP - od v1 do v3.

Scenariusz 1: Atak DoS

Atakujący potrzebuje jedynie:

  • Dostępu do protokołu SNMP (dowolna wersja)
  • Community string read-only (SNMP v1/v2c) lub podstawowych danych uwierzytelniających (SNMP v3)

Skutek: Wywołanie reloadu urządzenia i czasowa niedostępność usług sieciowych.

Scenariusz 2: Pełne przejęcie kontroli (RCE)

Krytyczny scenariusz wymaga:

  • Dostępu SNMP (jak wyżej)
  • Dodatkowo: dane uwierzytelniające konta administracyjnego lub privilege level 15

Skutek: Wykonanie dowolnego kodu jako root, pełna kontrola nad urządzeniem.

Urządzenia objęte podatnością

  • Cisco Meraki MS390
  • Cisco Catalyst 9300 Series Switches (Meraki CS 17 i wcześniejsze)

Naprawiono w: Cisco IOS XE 17.15.4a

Monitorowanie HTTP(S)

GitHub - coder/httpjail: HTTP(s) request filter for processes
HTTP(s) request filter for processes. Contribute to coder/httpjail development by creating an account on GitHub.
GitHubcoder

httpjail to narzędzie do monitorowania i ograniczania żądań HTTP/HTTPS uruchamianych przez procesy, działające na Linuxie i macOS. Domyślnie blokuje cały ruch sieciowy — musisz podać regułę (JS, skrypt shellowy lub proces liniowy), żeby zezwolić na konkretne połączenia. Umożliwia izolację sieciową procesów, transparentne przechwytywanie HTTP/S z wstrzykiwaniem certyfikatów TLS, ochronę przed wyciekiem danych przez DNS oraz różne mechanizmy ewaluacji reguł (JS, skrypt per-request, persistentny proces przetwarzający linie).

Analiza danych BGP

AskBGP

AskBGP to bezpłatne narzędzie, które pozwala analizować i symulować routing internetowy na podstawie otwartych danych BGP RIPE NCC. Umożliwia odtwarzanie historycznych zdarzeń BGP, diagnozowanie problemów z routingiem i badanie mechanizmów Border Gateway Protocol.

Rewolucja w zarządzaniu topologiami sieciowymi

Świetnie! Udało ci się pomyślnie zarejestrować.
Witaj z powrotem! Zalogowałeś się pomyślnie.
Pomyślnie subskrybowałeś Inna Sieć.
Twój link wygasł.
Sukces! Sprawdź swoją skrzynkę e-mailową, aby uzyskać magiczny link do logowania.
Sukces! Twoje informacje rozliczeniowe zostały zaktualizowane.
Twoje informacje rozliczeniowe nie zostały zaktualizowane.