Эксперты обнаружили уязвимость, угрожающую сотням тысяч IoT-устройств

Эксперты обнаружили уязвимость, угрожающую сотням тысяч IoT-устройств

Эксперты обнаружили уязвимость, угрожающую сотням тысяч IoT-устройств

Эксперты сообщают об уязвимости в веб-сервере, встроенном в сотни тысяч IoT-устройств. Речь идет о GoAhead, пакете веб-серверов, созданном компанией Embedthis Software LLC, расположенной в Сиэтле, США.

Компания Embedthis утверждает, что ее продукт в настоящее время используется такими крупными корпорациями, как Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon, а также многими другими. GoAhead довольно популярен среди поставщиков аппаратных средств, поскольку он может работать на устройствах с ограниченными ресурсами — IoT-устройства, маршрутизаторы, принтеры и другое сетевое оборудование.

Этот недостаток обнаружили эксперты из австралийской компании Elttam, как выяснилось, он способен привести к удаленному выполнению вредоносного кода на устройствах, использующих GoAhead. Технические подробности этой уязвимости, получившей идентификатор CVE-2017-17562, объясняются здесь.

Атакующие могут проэксплуатировать эту брешь, если CGI включен, а программа CGI динамически связана, что является довольно распространенным вариантом конфигурации.

Специалисты Elttam сообщили об ошибке Embedthis, благодаря чему разработчики выпустили патч. Все версии GoAhead до 3.6.5 считаются уязвимыми. После того, как Embedthis выполнила свою часть работы, выпустив патч, осталось дождаться, когда поставщики устройств задействуют это обновление.

Ожидается, что такой процесс займет месяцы, даже годы, ибо некоторые устройства не получат обновления, поскольку прекратился их срок поддержки.

Спецоперация с посылкой: мошенники начали превращать жертв в курьеров

МВД России предупредило о новой мошеннической схеме, в которой человека могут не просто развести на деньги, но и втянуть в преступление. Аферисты представляются сотрудниками Центробанка, спецслужб, правоохранительных органов или финансовых организаций и просят «помочь» с якобы важной операцией: забрать посылку, перевезти деньги или задекларировать чужие средства.

В Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД предупреждают: если специалист Центрального банка просит забрать посылку и задекларировать чужие деньги — это мошенники.

И самое неприятное: человек, который согласится, рискует стать не помощником, а соучастником преступления. Схема строится на старой, но всё ещё рабочей легенде: жертве внушают, что она участвует в тайной проверке, расследовании или спецмероприятии.

Для убедительности аферисты прикрываются громкими названиями ведомств и должностей, давят срочностью и требуют никому ничего не рассказывать. В итоге владелец смартфона превращается в курьера, который своими руками помогает преступникам.

В МВД подчёркивают: государственные организации не нанимают случайных граждан для внештатной работы по телефону и не просят участвовать в секретных операциях. Центробанк, полиция и спецслужбы не отправляют людей за чужими деньгами, не поручают перевозить посылки и не просят декларировать средства неизвестного происхождения.

Так что если на том конце провода внезапно появился сотрудник ЦБ с просьбой помочь стране, банку или следствию, лучший вклад в безопасность уже понятен: положить трубку и не играть в курьера для мошенников.

RSS: Новости на портале Anti-Malware.ru