Главная » Новости

Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Олег Иванов 15 Января 2018 - 11:45
...
Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Seagate исправила уязвимость в прошивке Seagate Personal Cloud Home Media Storage, использующейся в NAS-продукте компании. Брешь затрагивает веб-приложение Media Server и позволяет пользователям взаимодействовать с данными, хранящимися на устройстве, через сетевое соединение.

Интерфейс Media Server работает поверх приложения Django (Python), исследователь Йорик Костер обнаружил, что если злоумышленник сделает злонамеренные запросы к двум файлам (getLogs и uploadTelemetry), он может заставить приложение выполнить произвольные команды на целевом устройстве.

Недостаток получил классификацию «инъекции неавторизованной команды», он позволяет атакующим запускать команды на базовой прошивке устройства из интерфейса веб-управления. Господин Костер создал код, подтверждающий концепцию (proof-of-concept), который, эксплуатируя данную брешь, разрешает удаленный SSH-доступ на NAS-устройство Seagate, а затем позволяет изменить его пароль root.

Но есть один нюанс. Доступ к этому интерфейсу возможен только из локальной сети, следовательно, единственный способ использовать этот недостаток — заставить пользователя посетить зловредный URL-адрес в той же сети (LAN) с помощью устройства NAS.

Это можно осуществить с помощью, например, фишинга. Также злоумышленники могут вставлять код эксплойта в рекламные объявления. Когда владелец NAS обращается к сайту со злонамеренным объявлением, скрытый код объявления взаимодействует с уязвимым NAS-устройством.

Костер проинформировал Seagate об уязвимости компанию, занимающуюся безопасностью Beyond Security.

«Seagate была проинформирована об этой уязвимости 16 октября. Однако, даже признав факт получения информации об уязвимости, компания отказалась обозначить временные рамки исправления данной бреши», — пишет Beyond Security.

Однако вскоре Костер заявил, что Seagate удалось устранить вышеозначенную проблему.

«Могу подтвердить, что на моем NAS-устройстве проблема решена», — отчитался Костер, показав журнал изменений Seagate Personal Cloud для версии 4.3.18.0.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp запустил беспарольный доступ (passkey) на iPhone
Екатерина Быстрова 25 Апреля 2024 - 09:41
Домашние пользователи Системы аутентификацииТокены и устройства аутентификацииБиометрические системы аутентификацииПарольная защита (пароли)Средства генерации одноразовых паролей (OTP)
WhatsApp запустил беспарольный доступ (passkey) на iPhone

Разработчики WhatsApp запустили поддержку ключей доступа на iPhone по всему миру. Теперь верификацию можно проходить без необходимости отправки и ввода одноразовых кодов из СМС-сообщений.

Полгода назад WhatsApp уже ввёл беспарольный доступ для пользователей Android, предоставив им возможность попрощаться с двухфакторной аутентификацией по СМС.

Теперь любители «яблочной» iOS тоже могут воспользоваться passkey: при включении соответствующей опции входить в учётку WhatsApp можно через сканирование лица или ПИН-кода, сохранённого в «родном» менеджере ключей на iPhone.

Считается, что технология ключей доступа способна ощутимо затруднить жизнь злоумышленникам, пытающимся удалённо получить доступ к вашей учётной записи.

Параллельно passkey избавляет пользователей от необходимости постоянно вводить логины и пароли (которые ещё могут и попасть в руки киберпреступников). В случае с passkey злоумышленнику потребуется физический доступ к девайсу, чтобы войти в аккаунт WhatsApp.

Активировать ключи доступа можно в настройках мессенджера в разделе «Аккаунт».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Центр инноваций МТС запустил комплекс услуг кибербезопасности
Новость
Центр инноваций МТС запустил комплекс услуг кибербезопасност...
Разработчики шифровальщика вымогают деньги у эксплуататоров детей
Новость
Разработчики шифровальщика вымогают деньги у эксплуататоров...
Новые версии Android-трояна Vultur маскируются под McAfee Security
Новость
Новые версии Android-трояна Vultur маскируются под McAfee Se...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6