Главная » Новости

В свитчах Zyxel закрыта уязвимость, грозящая нарушением бизнес-процессов

Татьяна Никитина 25 Января 2023 - 18:36
...
В свитчах Zyxel закрыта уязвимость, грозящая нарушением бизнес-процессов

Наличие DoS-уязвимости, найденной экспертом Positive Technologies, подтверждено для 47 моделей коммутаторов Zyxel. Производитель устранил ошибку и выпустил обновления прошивки для всех затронутых устройств.

Уязвимость CVE-2022-43393 возникла из-за неправильной проверки на наличие необычных или исключающих условий при обработке HTTP-запросов. В результате возникла возможность с помощью особого запроса удаленно изменить содержимое памяти устройства и вызвать отказ в обслуживании (DoS).

Степень опасности проблемы оценена в 9,8 балла по шкале CVSS. Сканирование интернета, проведенное в Positive Technologies две недели назад, выявило уязвимые коммутаторы Zyxel во многих странах, с наибольшей концентрацией во Франции и на Тайване.

 

Патчи вышли для всех затронутых свитчей (список приведен в бюллетене вендора). Поскольку коммутаторы обычно работают на уровне локальной сети, риск DoS-атаки можно снизить с помощью файрвола или шлюза безопасности. В целях оптимальной защиты Zyxel также советует ужесточить правила удаленного доступа к свитчам — ограничить запросы HTTP/HTTPS на доступ к админ-интерфейсу или сократить число IP-адресов, с которых можно обращаться с такими запросами.

«Данный тип уязвимостей на практике менее интересен, чем выполнение произвольного кода, — комментирует Никита Абрамов, специалист отдела анализа приложений в Positive Technologies и автор опасной находки. — Однако при использовании обнаруженной уязвимости может быть нарушен рабочий процесс предприятия или выведены из строя критически важные элементы его инфраструктуры. Все это несет затраты и риски для бизнеса и может стать недопустимым событием, которое поставит под угрозу деятельность компании».

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Система MLS утверждена в качестве стандарта сквозного шифрования
Татьяна Никитина 31 Марта 2023 - 18:42
Общее Защита персональных данных
Система MLS утверждена в качестве стандарта сквозного шифрования

Рабочая группа по стандартизации / развитию интернет-технологий (IETF) санкционировала публикацию документа Messaging Layer Security (MLS) в последней редакции. Новый стандарт диктует использование сквозного шифрования для защиты обмена сообщениями и призван упростить реализацию таких механизмов в веб-приложениях.

Целью разработки являлась унификация процедуры согласования ключей, аутентификации и обеспечения конфиденциальности. Участники, по словам IETF, постарались учесть все прежние достижения в области защиты передачи данных.

Так, MLS-система, как и Double Ratchet (алгоритм управления ключами, используемый в iMessage, Viber, WhatsApp, Signal), может работать в асинхронном режиме, а также обеспечивает защиту пользовательских данных после компрометации криптоключа (Post-Compromise Security, PCS).

С TLS 1.3 новый стандарт роднит надежность аутентификации; параметры безопасности в обоих случаях были подтверждены формальным анализом. Создатели MLS также предусмотрели возможность масштабирования: коллективный обмен можно распространить на тысячи устройств без поражения в безопасности.

За основу спецификаций взяты созданные в IETF черновые варианты мессенджера с MLS-защитой и протокола согласования ключей по MLS. Последний призван решить следующие задачи:

  1. Конфиденциальность — сообщения могут читать только участники группы.
  2. Целостность и достоверность данных — каждое сообщение отправляется аутентифицированным пользователем и не может быть изменено в ходе пересылки.
  3. Аутентичность состава группы — каждый участник может проверить подлинность других собеседников.
  4. Работа в асинхронном режиме — согласование ключей не требует одномоментного присутствия сторон онлайн.
  5. Прямая секретность (Forward Secrecy) — компрометация одного из участников не раскроет сообщения, ранее отправленные в группу.
  6. PCS — компрометация одного из участников не позволит аутсайдеру получить доступ к дальнейшему обмену в группе.
  7. Масштабируемость — учет потребления ресурсов при изменении величины группы.

В настоящее время MLS используют Webex и RingCentral. Переход на MLS также запланирован для Wire, Wickr и Matrix.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Телефонные мошенники берут жертву на измену Родине
Новость
Телефонные мошенники берут жертву на измену Родине
Найдена уязвимость, позволяющая организовать рассылку от имени приложения
Новость
Найдена уязвимость, позволяющая организовать рассылку от име...
На чердаке психбольницы под Иркутском тихо майнили криптовалюту
Новость
На чердаке психбольницы под Иркутском тихо майнили криптовал...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2023. Все права защищены.

Рейтинг@Mail.ru

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6