Еще в январе 2017 года исследователи компании Nightwatch Cybersecurity обнаружили ряд уязвимостей более чем в сорока моделях роутеров Asus RT. Так как исследователи незамедлительно уведомили разработчиков Asus о проблемах, в марте 2017 года компания выпустила обновленную версию прошивки.
Ниже можно увидеть список уязвимых устройств (специалисты подчеркивают, что он неполон). Всем владельцам роутеров данных моделей рекомендуется проверить версию прошивки и убедиться, что она не ниже v3.0.0.4.380.7378.
RT-AC51U
RT-AC52U B1
RT-AC53
RT-AC53U
RT-AC55U
RT-AC56R
RT-AC56S
RT-AC56U
RT-AC66U
RT-AC68U
RT-AC68UF
RT-AC66R
RT-AC66U
RT-AC66W
RT-AC68W
RT-AC68P
RT-AC68R
RT-AC68U
RT-AC87R
RT-AC87U
RT-AC88U
RT-AC1200
RT-AC1750
RT-AC1900P
RT-AC3100
RT-AC3200
RT-AC5300
RT-N11P
RT-N12 (только версия D1)
RT-N12+
RT-N12E
RT-N16
RT-N18U
RT-N56U
RT-N66R
RT-N66U (только версия B1)
RT-N66W
RT-N300
RT-N600
RT-4G-AC55U (патча пока нет)
В блоге Nightwatch Cybersecurity можно найти подробное описание всех обнаруженных проблем, а также proof-of-concept эксплоиты для них. Ниже мы приводим краткое описание уязвимостей.
CSRF на странице логина (CVE-2017-5891): страница входа в админку роутера не защищена от CSRF-атак, а значит, атакующий может заманить пользователя на вредоносный сайт и оттуда осуществить запрос к странице логина. Этот баг можно использовать для входа в панель администратора, если устройство использует учетные данные по умолчанию (admin/admin), или в том случае, если злоумышленник знает логин и пароль жертвы, пишет xakep.ru.
Сохранение настроек CSRF (CVE-2017-5891): используя описанную выше проблему, атакующий может изменить сетевые настройки или настройки безопасности роутера, а также учетные данные.
JSONP раскрывает информацию, аутентификация не требуется: JSONP отвечает на запросы извне, сообщая злоумышленнику такую информацию, как модель роутера, SSID, IP-адреса и так далее.
JSONP раскрывает информацию, требуется аутентификация (CVE-2017-5892): как и в вышеописанном случае, JSONP раскрывает данные об устройстве, в том числе более подробную информацию о сети, настройки access point, внешний IP-адрес, данные WebDAV и так далее.
XML-эндпоинт позволяет узнать пароль от Wi-Fi: для реализации атаки нужно, чтобы злоумышленник находился в той же сети и знал пароль администратора, после чего можно обратиться к XML и узнать пароль от Wi-Fi.
Однако это не все уязвимости, которые разработчики Asus устранили в новой версии прошивки. Еще несколько проблем в роутерах серии RT обнаружил независимый исследователь Бруно Бирбаумер (Bruno Bierbaumer). Среди его «находок» были XSS на странице логина (CVE-2017-6547), баг, позволяющий похищать сессии (CVE-2017-6549), а также опасная RCE-уязвимость (CVE-2017-6548).
16 мая стало известно, что OpenAI заключила соглашение о партнерстве с Reddit. Оно позволит чат-боту ChatGPT получить доступ к контенту на сайте интернет-форума, который может быть использован для его обучения.
Акции компании Reddit выросли на 15% после официального объявления о заключении сделки.
Конкуренция за премиальные наборы данных среди разработчиков искусственного интеллекта обостряется.
Для OpenAI это отличная возможность получить огромное количество данных, а Reddit сможет добавить на свой сайт больше функций, основанных на ИИ, а также получать дополнительные доходы помимо рекламной выручки.
В рамках своей стратегии по повышению прибыльности Reddit недавно заключил сделку по обмену данными с Alphabet для обучения ИИ.
OpenAI также начала сотрудничество с рядом издательств, таким как Financial Times, Associated Press и другими для использования созданного СМИ контента в своих продуктах.
В то время как одни компании стремятся сотрудничать с ИИ разработчиками, другие настроены более враждебно. Недавно на OpenAl подали иск издатели газет и некоторые писатели. Они возмущены тем, что ChatGPT использует контент без их согласия.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.