Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Олег Иванов 15 Января 2018 - 11:45

Домашние пользователи

Общее

Уязвимости программ

Ошибки конфигурации программ

Патчи

...

Seagate устранила позволяющую выполнить код уязвимость NAS-устройств

Seagate исправила уязвимость в прошивке Seagate Personal Cloud Home Media Storage, использующейся в NAS-продукте компании. Брешь затрагивает веб-приложение Media Server и позволяет пользователям взаимодействовать с данными, хранящимися на устройстве, через сетевое соединение.

Интерфейс Media Server работает поверх приложения Django (Python), исследователь Йорик Костер обнаружил, что если злоумышленник сделает злонамеренные запросы к двум файлам (getLogs и uploadTelemetry), он может заставить приложение выполнить произвольные команды на целевом устройстве.

Недостаток получил классификацию «инъекции неавторизованной команды», он позволяет атакующим запускать команды на базовой прошивке устройства из интерфейса веб-управления. Господин Костер создал код, подтверждающий концепцию (proof-of-concept), который, эксплуатируя данную брешь, разрешает удаленный SSH-доступ на NAS-устройство Seagate, а затем позволяет изменить его пароль root.

Но есть один нюанс. Доступ к этому интерфейсу возможен только из локальной сети, следовательно, единственный способ использовать этот недостаток — заставить пользователя посетить зловредный URL-адрес в той же сети (LAN) с помощью устройства NAS.

Это можно осуществить с помощью, например, фишинга. Также злоумышленники могут вставлять код эксплойта в рекламные объявления. Когда владелец NAS обращается к сайту со злонамеренным объявлением, скрытый код объявления взаимодействует с уязвимым NAS-устройством.

Костер проинформировал Seagate об уязвимости компанию, занимающуюся безопасностью Beyond Security.

«Seagate была проинформирована об этой уязвимости 16 октября. Однако, даже признав факт получения информации об уязвимости, компания отказалась обозначить временные рамки исправления данной бреши», — пишет Beyond Security.

Однако вскоре Костер заявил, что Seagate удалось устранить вышеозначенную проблему.

«Могу подтвердить, что на моем NAS-устройстве проблема решена», — отчитался Костер, показав журнал изменений Seagate Personal Cloud для версии 4.3.18.0.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 16 Января 2026 - 13:42

Android Домашние пользователи

WhatsApp тестирует функцию проверки приватности статусов

WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) начал тестировать новую функцию, которая делает статусы чуть более понятными. В свежей бета-версии мессенджера для Android (2.26.2.9), доступной через программу Google Play Beta, у части пользователей появилась возможность посмотреть, с какими настройками приватности был опубликован конкретный статус.

Идея простая, но давно назревшая. Многие пользователи часто меняют аудиторию для статусов: один раз — «Мои контакты», другой — «Кроме…» или «Только для…».

Проходит время, и уже не всегда понятно, кто именно видел этот конкретный статус. Из-за этого люди нередко перестраховываются — удаляют публикацию и выкладывают её заново. Теперь, похоже, в этом больше нет необходимости.

Как работает новая функция, по информации WABetaInfo? Если она активирована для вашей учётной записи, достаточно открыть опубликованный за последние 24 часа статус, перейти в список просмотров и открыть меню с тремя точками. Там появляется новый пункт — Audience («Аудитория»). В нём WhatsApp показывает, с какими настройками конфиденциальности был опубликован этот статус.

Пользователь сразу видит, кому именно был доступен контент: всем контактам, всем кроме отдельных людей или только выбранной группе. Если статус был опубликован с ограничениями, можно посмотреть, кто именно исключён из списка или, наоборот, входит в него. Это особенно удобно для тех, кто часто экспериментирует с настройками видимости.

Кроме того, в этом же разделе отображается ещё один важный момент — разрешён ли репост статуса. Даже если после публикации вы уже не помните, включали ли возможность пересылки, теперь это легко проверить.

В итоге новая функция решает вполне бытовую, но раздражающую проблему: когда не уверен, «туда ли ушёл статус». Теперь можно просто проверить настройки и уже потом решать — оставлять публикацию или удалять её.

Пока функция доступна лишь части бета-тестеров, установивших бета-версию WhatsApp для Android версии 2.26.2.9. Компания продолжает тестирование и следит за стабильностью работы. Если всё пройдёт гладко, в ближайших обновлениях возможность просматривать настройки приватности статусов появится у более широкой аудитории.

Напомним, недавно в Сети нашлиновый способ вернуть быстрый нативный WhatsApp в Windows 11. Интересно также новое исследование учёных из Билефельдского университета, основанное на метаданных WhatsApp, — оно показало, чтомы плохо понимаем, как ведём себя в чатах.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »