В популярных маршрутизаторах Netgear исправлены серьезные уязвимости

В популярных маршрутизаторах Netgear исправлены серьезные уязвимости

В популярных маршрутизаторах Netgear исправлены серьезные уязвимости

Команда Trustwave раскрыла информацию о нескольких уязвимостях, затрагивающих маршрутизаторы Netgear, включая устройства из категории самых продаваемых продуктов на Amazon и Best Buy.

Сами бреши были обнаружены исследователями в марте 2017 года, а исправлены производителем поэтапно в августе, сентябре и октябре.

Одна из уязвимостей, имеющая серьезный уровень опасности, была описана как проблема восстановления пароля и доступа к файлам. Эта дыра затрагивает 17 маршрутизаторов Netgear, включая такие популярные, как R6400, R7000 (Nighthawk), R8000 (Nighthawk X6) и R7300DST (Nighthawk DST).

Согласно данным Trustwave, эта брешь может позволить получить доступ к файлам в корневом каталоге устройства, а также, если известен путь, и в других местах. Эти файлы могут хранить имена пользователей и пароли администратора, которые могут быть использованы для получения полного контроля над устройством. Неаутентифицированный злоумышленник может использовать уязвимость удаленно, если соответствующая функция включена на целевом устройстве.

Неправильно реализованная защита от межсайтовых запросов (CSRF) также открывает возможность для удаленной атаки.

Еще одна уязвимость, описанная специалистами, которой также присвоен статус серьезной, может быть использована злоумышленником для обхода аутентификации благодаря специально созданному запросу. По словам Trustwave, уязвимость может быть легко проэксплуатирована.

Третья серьезная брешь может быть использована для выполнения произвольных команд с правами root без аутентификации.

Две другие проблемы получили статус уязвимостей средней степени опасности, они затрагивают только шесть моделей маршрутизаторов Netgear.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Альфа-Банк повысил выплаты баг-хантерам до миллиона рублей за уязвимость

Альфа-Банк увеличил максимальное вознаграждение по программе поиска уязвимостей до 1 миллиона рублей. Соответствующая программа действует на платформе BI.ZONE Bug Bounty и охватывает мобильные и веб-приложения, публичные API и инфраструктуру банка.

Это уже второе повышение суммы выплат за время существования программы. По словам представителей банка, шаг направлен на развитие взаимодействия с исследовательским сообществом и повышение уровня защиты цифровых сервисов.

Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка, отметил, что за три года работы программа помогла значительно укрепить безопасность и выстроить доверительное сотрудничество с исследователями.

Руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин добавил, что финансовый сектор остаётся одной из ключевых целей злоумышленников, поэтому участие независимых экспертов в поиске уязвимостей особенно важно.

Теперь за найденные критические уязвимости исследователи смогут получить до миллиона рублей, а за менее значительные ошибки — меньшие, но также ощутимые суммы.

Напомним, в июле Сбер открыл новую программу баг-баунти на платформе BI.ZONE Bug Bounty — теперь баг-хантеры могут проверить защищённость сервисов СберБизнеса, интернет-банка для предпринимателей и юрлиц.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru