Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Олег Иванов 15 Января 2018 - 11:45

Домашние пользователи

Общее

Уязвимости программ

Ошибки конфигурации программ

Патчи

...

Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Seagate исправила уязвимость в прошивке Seagate Personal Cloud Home Media Storage, использующейся в NAS-продукте компании. Брешь затрагивает веб-приложение Media Server и позволяет пользователям взаимодействовать с данными, хранящимися на устройстве, через сетевое соединение.

Интерфейс Media Server работает поверх приложения Django (Python), исследователь Йорик Костер обнаружил, что если злоумышленник сделает злонамеренные запросы к двум файлам (getLogs и uploadTelemetry), он может заставить приложение выполнить произвольные команды на целевом устройстве.

Недостаток получил классификацию «инъекции неавторизованной команды», он позволяет атакующим запускать команды на базовой прошивке устройства из интерфейса веб-управления. Господин Костер создал код, подтверждающий концепцию (proof-of-concept), который, эксплуатируя данную брешь, разрешает удаленный SSH-доступ на NAS-устройство Seagate, а затем позволяет изменить его пароль root.

Но есть один нюанс. Доступ к этому интерфейсу возможен только из локальной сети, следовательно, единственный способ использовать этот недостаток — заставить пользователя посетить зловредный URL-адрес в той же сети (LAN) с помощью устройства NAS.

Это можно осуществить с помощью, например, фишинга. Также злоумышленники могут вставлять код эксплойта в рекламные объявления. Когда владелец NAS обращается к сайту со злонамеренным объявлением, скрытый код объявления взаимодействует с уязвимым NAS-устройством.

Костер проинформировал Seagate об уязвимости компанию, занимающуюся безопасностью Beyond Security.

«Seagate была проинформирована об этой уязвимости 16 октября. Однако, даже признав факт получения информации об уязвимости, компания отказалась обозначить временные рамки исправления данной бреши», — пишет Beyond Security.

Однако вскоре Костер заявил, что Seagate удалось устранить вышеозначенную проблему.

«Могу подтвердить, что на моем NAS-устройстве проблема решена», — отчитался Костер, показав журнал изменений Seagate Personal Cloud для версии 4.3.18.0.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 21 Февраля 2020 - 16:27

Android iOS Microsoft Defender Advanced Threat Protection Домашние пользователи Корпорации Microsoft

Microsoft выпустит антивирус Defender для Android и iOS

Microsoft в этом году планирует адаптировать свой антивирусный продукт Defender под операционные системы Android и iOS. На деле «Защитник» будет реализован в виде нескольких приложений для этих двух мобильных ОС.

На данном этапе корпорация не объясняет, как именно будут работать эти приложения, но известно, что их покажут на международной конференции по информационной безопасности RSA, которая пройдёт на следующей неделе.

В середине прошлого года Microsoft уже сделала шаг за пределы собственной операционной системы — техногигант выпустил Microsoft Defender Advanced Threat Protection (ATP) и Microsoft Defender ATP для macOS. В связи с этим корпорация даже переименовала Windows Defender в Microsoft Defender.

Предположительно, мобильный антивирус от Microsoft будет сильно отличаться от десктопных версий. Особенно это коснётся системы iOS, поскольку она не позволяет приложениям сканировать iPhone или iPad на наличие вредоносных программ.

По словам Microsoft, одна из основных задач Defender для iOS и Android — защита от фишинга, с помощью которого злоумышленники могут выведать у сотрудников организаций имена пользователей, пароли и другую конфиденциальную информацию.

Однако пока непонятно, как корпорация добьётся этого на операционной системе от Apple.