В софте Dell обнаружен бэкдор и пять серьезных уязвимостей

В софте Dell обнаружен бэкдор и пять серьезных уязвимостей

В софте Dell обнаружен бэкдор и пять серьезных уязвимостей

Сотрудники американской компании Digital Defense Inc сообщили, что продукция Dell SonicWall небезопасна. Исследователи обнаружили в составе Dell SonicWALL Global Management System (GMS) скрытый дефолтный аккаунт с очень простым паролем и еще пять критических уязвимостей, две из которых могут привести к удаленному выполнению произвольного кода в системе.

Компания Dell приобрела компанию SonicWALL еще в 2014 году. Продукция SonicWALL — это комплексные решения в области сетевой безопасности, безопасности электронной почты, безопасного удаленного доступа, защиты данных, анализа отчетности, централизованного управления и так далее.

Специалисты Digital Defense Inc сообщают, что им удалось обнаружить в продуктах Dell SonicWALL GMS спрятанный аккаунт «с паролем, который очень легко подобрать». Данный бэкдор может использоваться для добавления в систему новых пользователей, так как через консоль GMS можно скачать CLI-клиент. Фактически, непривилегированный пользователь способен получить доступ к веб-интерфейсам и изменить пароль администратора, повысить собственные привилегии до максимальных и стать новым админом. Это даст злоумышленнику полный контроль над GMS и сопряженных устройствах SonicWALL, пишет xakep.ru.

Помимо встроенного бэкдора, исследователи выявили две RCE-уязвимости, два бага XML External Entity Injection (XXE) и проблему, которая позволяла вносить неавторизованные изменения в конфигурацию GMS.

Разработчики Dell уже представили патчи для найденных проблем. Администраторам рекомендуют установить «заплатки», так как уязвимости актуальны даже для наиболее свежих версий GMS: 8.0 и 8.1.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru