7 дыр затрагивают компьютеры с Thunderbolt, проданные за последние 9 лет

7 дыр затрагивают компьютеры с Thunderbolt, проданные за последние 9 лет

Семь новых аппаратных уязвимостей затрагивают ноутбуки и десктопы, оснащённые разъёмом Thunderbolt и проданные за последние девять лет. По словам обнаружившего бреши исследователя, их можно использовать для кражи данных с компьютера жертвы.

Весь набор уязвимостей получил имя «ThunderSpy», в теории с его помощью можно осуществить девять различных сценариев атак.

Особенность эксплуатации заключается в том, что выкрасть данные можно с заблокированного или «спящего» компьютера даже в том случае, если включено полное шифрование дисков.

Однако и использовать ThunderSpy а атаке довольно сложно — необходимо иметь физический доступ к устройству жертвы в течение как минимум нескольких минут.

Бьёрн Рутенберг из Технического университета Эйндховена описал связку уязвимостей ThunderSpy на специально созданном сайте. В частности, специалист пишет:

«Для эксплуатации ThunderSpy может потребоваться открыть атакуемый ноутбук с помощью отвёртки. Однако этот способ не оставляет следов вторжения, при этом требует всего нескольких минут наедине с компьютером». 

Другими словами, использовать ThunderSpy удалённо нельзя, поскольку уязвимости никак не связаны с сетевой активностью.

Но стоит отметить, что если у злоумышленника будет физический доступ к ноутбуку или десктопу, устройство не спасут никакие защитные меры. Безопасная загрузка, защита BIOS и операционной системы паролями, даже полное шифрование дисков — всё не спасёт в случае эксплуатации ThunderSpy.

На видео ниже эксперт демонстрирует эксплуатацию ThunderSpy:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В контроллерах Rockwell выявлена 10-балльная уязвимость

В двух десятках ПЛК производства Rockwell Automation выявлена возможность обхода аутентификации, позволяющая получить удаленный доступ к устройству и изменить его настройки и/или код приложения. Степень опасности уязвимости оценена в 10 баллов из 10 возможных по шкале CVSS.

Уязвимость, зарегистрированную под идентификатором CVE-2021-22681, параллельно обнаружили исследователи из Сычуаньского университета (КНР), «Лаборатории Касперского» и ИБ-компании Claroty. В появлении опасной проблемы повинен Studio 5000 Logix Designer (ранее RSLogix 5000) — популярный программный продукт, обеспечивающий единую среду разработки для ПЛК.

Корнем зла в данном случае является слабая защита секретного критоключа, который Studio 5000 Logix Designer использует для подтверждения полномочий рабочей станции на связь с контроллерами. В итоге открылась возможность получить доступ к ПЛК в обход аутентификации, чтобы загрузить на устройство сторонний код, скачать информацию или подменить прошивку.

Уязвимость актуальна для ПЛК линеек CompactLogix, ControlLogix, DriveLogix, Compact GuardLogix, GuardLogix и SoftLogix. Эксплуатация CVE-2021-22681, по свидетельству экспертов, тривиальна.

Чтобы снизить риски, Rockwell советует включить на контроллерах режим RUN,  предельно обновить их прошивки и заменить CIP на соединениях Logix Designer протоколом CIP Security, стандартизированным ODVA. Не стоит пренебрегать также обычными мерами безопасности, такими как сегментация сети, ограничение доступа к средствам управления, строгая изоляция и надежная защита АСУ ТП.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru