Рекомендации MITRE раскрыли ссылки на уязвимые IoT-устройства

Екатерина Быстрова 07 Июля 2022 - 10:07

Случайное разглашение данных

...

Рекомендации MITRE раскрыли ссылки на уязвимые IoT-устройства

Рекомендации по безопасности в отношении одной из CVE-уязвимостей, опубликованные MITRE, случайно раскрыли ссылки на админ-консоли более десятка уязвимых IoT-устройств. Вся эта информация лежала в Сети с апреля 2022 года.

О проблеме изданию BleepingComputer рассказал анонимный читатель, который был крайне удивлён увидеть ссылки на уязвимые системы в секции “references“ рекомендаций MITRE.

Учитывая, что опубликованные MITRE рекомендации в отношении CVE-проблем дословно публикуются во многих источниках — на новостных сайтах и в различных лентах — URL на уязвимые системы могли быстро разойтись по Сети.

Как правило, в разделе “references“ указываются ссылки на первоисточник (отчёт, пост в блоге исследователя, демонстрационный эксплойт PoC и т. п.). А вот указание там URL на непропатченные системы может привести к тому, что киберпреступники возьмут их на вооружение.

В проблемных рекомендациях MITRE, которые были опубликованы в апреле, описывалась уязвимость, получившая высокую степень риска и приводящая к раскрытию информации. Именно там исследователи нашли ссылки более чем на 10 уязвимых IoT-устройств.

Изучив эту информацию, злоумышленники могли воспользоваться инструментами вроде Shodan или Censys для поиска и вычисления потенциальных целей для кибератак.

Если перейти по любой из указанных ссылок выше (замазаны из соображений безопасности), вы попадёте в панель администратора одного из уязвимых устройств. Среди таких девайсов есть, например, IP-камеры.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 20 Сентября 2024 - 19:04

Домашние пользователи Системы аутентификации Парольная защита (пароли)

Google Chrome теперь синхронизирует passkey между Android и десктопами

В Chrome упростили использование беспарольной аутентификации (passkey) на Windows, macOS и Linux. Отныне такие ключи доступа можно сохранять в Google Password Manager с десктопа, и они будут автоматом синхронизироваться между всеми устройствами юзера.

Реализация кросс-платформенной поддержки (в список обещают добавить также iOS) потребовала дополнительных мер безопасности. В частности, были реализованы новая функциональность Google Password Manager PIN и сквозное шифрование passkey — с тем, чтобы эти ключи доступа не попали в чужие руки, даже к Google.

При первом сохранении passkey с использованием десктопной версии браузера менеджер паролей (GPM) попросит ввести код разблокировки экрана Android-устройства (для подтверждения личности), а затем создать ПИН.

По умолчанию этот код должен состоять из шести цифр, но юзеру предоставлена возможность расширить строку и использовать также буквы. Использование хранимых ключей беспарольного доступа потребует ввода ПИН (либо идентификатора с Android).

Прежде владельцы Chrome могли сохранять passkey в GPM только с помощью Android. Пользоваться ими можно было и с других платформ, однако это требовало скана QR-кода устройством, на котором их создали. Нововведения позволяют пропустить этот этап, что упрощает вход на сайты и в приложения.

По внутренним данным, технологию passkey используют более 400 млн аккаунтов Google. В Android при этом предусмотрена возможность подтверждения личности с помощью passkey одним тапом.