В популярных устройствах NAS обнаружены уязвимости
В популярных устройствах NAS, таких как WD My Book, NetGear Stora, Seagate Home и Medion LifeCloud NAS, обнаружены опасные уязвимости, позволяющие злоумышленникам получить права суперпользователя на устройстве без какого-либо участия пользователя.
Речь идет о двух уязвимостях (CVE-2018-18471 и CVE-2018-18472), обнаруженных исследователями безопасности Паулосом Йибело (Paulos Yibelo) и Даниэлем Эшету (Daniel Eshetu). С их помощью атакующий может повысить свои привилегии на устройстве и читать файлы, добавлять/удалять пользователей, добавлять/модифицировать данные и удаленно выполнять команды.
Первая уязвимость затрагивает web-интерфейс операционной системы Axentra Hipserv, предназначенной для устройств NAS. Проэксплуатировав ее, злоумышленник может читать файлы, осуществлять SSRF-атаки и удаленно выполнять команды.
Вторая уязвимость была обнаружена в WD MyBook Live и некоторых моделях WD MyCloud NAS. Проблема затрагивает функционал смены языков в REST API и позволяет удаленно выполнять команды.
Уязвимости затрагивают порядка 2 млн устройств по всему миру. По состоянию на 19 октября текущего года они оставались неисправленными. Для того чтобы обезопасить уязвимые устройства от возможных кибератак, пользователям рекомендуется отключить их от интернета и использовать только в безопасных локальных сетях.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш