Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Seagate исправила уязвимость в прошивке Seagate Personal Cloud Home Media Storage, использующейся в NAS-продукте компании. Брешь затрагивает веб-приложение Media Server и позволяет пользователям взаимодействовать с данными, хранящимися на устройстве, через сетевое соединение.

Интерфейс Media Server работает поверх приложения Django (Python), исследователь Йорик Костер обнаружил, что если злоумышленник сделает злонамеренные запросы к двум файлам (getLogs и uploadTelemetry), он может заставить приложение выполнить произвольные команды на целевом устройстве.

Недостаток получил классификацию «инъекции неавторизованной команды», он позволяет атакующим запускать команды на базовой прошивке устройства из интерфейса веб-управления. Господин Костер создал код, подтверждающий концепцию (proof-of-concept), который, эксплуатируя данную брешь, разрешает удаленный SSH-доступ на NAS-устройство Seagate, а затем позволяет изменить его пароль root.

Но есть один нюанс. Доступ к этому интерфейсу возможен только из локальной сети, следовательно, единственный способ использовать этот недостаток — заставить пользователя посетить зловредный URL-адрес в той же сети (LAN) с помощью устройства NAS.

Это можно осуществить с помощью, например, фишинга. Также злоумышленники могут вставлять код эксплойта в рекламные объявления. Когда владелец NAS обращается к сайту со злонамеренным объявлением, скрытый код объявления взаимодействует с уязвимым NAS-устройством.

Костер проинформировал Seagate об уязвимости компанию, занимающуюся безопасностью Beyond Security.

«Seagate была проинформирована об этой уязвимости 16 октября. Однако, даже признав факт получения информации об уязвимости, компания отказалась обозначить временные рамки исправления данной бреши», — пишет Beyond Security.

Однако вскоре Костер заявил, что Seagate удалось устранить вышеозначенную проблему.

«Могу подтвердить, что на моем NAS-устройстве проблема решена», — отчитался Костер, показав журнал изменений Seagate Personal Cloud для версии 4.3.18.0.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Spotify, Pinterest, Tinder, TikTok вылетают на iPhone. Виноват Facebook

Если вы столкнулись с «падением» отдельных приложений на устройствах iPhone и iPad, учтите, что эта проблема коснулась многих пользователей. Попробуем разобраться, что происходит с софтом для iOS и iPadOS.

Издание The Verge первым сообщило о проблемах в работе Spotify, Pinterest, TikTok и Tinder на iOS-устройствах. После поверхностного анализа проблемы исследователи пришли к выводу, что виноват Facebook.

В социальных сетях при этом тоже появились жалобы на вылеты популярных приложений. Сообщалось, что как только пользователь запускает проблемный софт на iPhone или iPad, программа тут же аварийно завершает работу. Даже знаменитый сервис DownDetector.com зафиксировал сбои.

Проблемные приложения можно запустить при отключённом от Сети девайсе, что в некоторых случаях решает проблему (например, Spotify — когда вы сохранили всю музыку локально). Однако с другими программами не всё так просто — для работы им нужен доступ в интернет.

Точную причину сбоев ещё предстоит выяснить, однако исследователи упорно винят SDK от Facebook, который многие приложения используют для аутентификации пользователя через аккаунт в социальной сети.

Спустя несколько часов представители Facebook на платформе для разработчиков признали, что SDK в iOS создаёт проблемы в работе других программ.

Чуть позже на GitHub появилась тема, в которой множество разработчиков сообщили о сбоях в работе приложений и попутно обвинили во всём Facebook.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru