Дослідники з компанії Elex CyberSecurity і команди Zero Day Initiative компанії виявили критичні уразливості в програмному забезпеченні Advantech WebAccess.
Їх експлуатація дозволяє зловмисникам віддалено виконувати довільний код, отримувати доступ до файлів і виконувати дії з підвищеними привілеями, а також видаляти дані.
Advantech WebAccess – конфігурується за допомогою web-браузера SCADA-система з архітектурою клієнт/сервер, що представляє фундаментальну основу управління даними в системі IoT. Вона використовується для автоматизації складних виробничих процесів в ситуаціях, коли необхідні віддалені операції.
Уразливості зачіпають версії WebAccess 8.4.1 і молодше. Експлуатація першої уразливості (CVE-2019-13558) пов’язана з некоректним управлінням генерування коду і дозволяє зловмиснику віддалено виконати код, витягти дані або викликати збій в системі. Проблема отримала оцінку в 9,8 бала за шкалою CVSS v3.
Уразливість (CVE-2019-13552) пов’язана з некоректною нейтралізацією спеціальних елементів, які використовуються в командах. Вона також дозволяє віддалено виконувати код і впроваджувати множинні команди. Переповнення буфера в стеку (CVE-2019-13556) може бути викликано відсутністю належної перевірки призначених для користувача даних. Її експлуатація також дозволяє віддалено виконати код.
Остання проблема (CVE-2019-13550) пов’язана з некоректною авторизацією, за допомогою якої зловмисник може розкрити конфіденційну інформацію, викликати некоректне управління генерацією коду і привести до віддаленого виконання коду або збоїв у системі.
Advantech виправила цю уразливість в версії WebAccess 8.4.2.
До речі, випущене на цьому тижні оновлення для Windows Defender виводить з ладу функцію ручного сканування системи.
Нагадаємо, Apple часто називала свою мобільну операційну систему однією з найбільш захищених і безпечних, але хакерам вже вдалося знайти серйозну уразливість в одній з останніх бета-версій iOS 13.
Також перші посилання в пошуковій системі Google, як правило, є рекламним. Багато користувачів, особливо новачки, клацають на такі сайти і витрачають чимало часу на те, щоб зрозуміти, що відкрита веб-сторінка має мало стосунку до того, що вони шукають насправді. Якщо Ви хочете бачити справжні результати пошуку в Google, розповідаємо, як приховувати такі посилання у своєму пошуковому запиті.
Стало відомо, що зловмисники можуть використовувати справжні файли Microsoft Teams для виконання шкідливого навантаження за допомогою підробленої папки встановлення.
У “пісочниць” від VMware, Comodo та Microsoft, схоже, з’явилася альтернатива від Sophos – Sandboxie. Тепер вона безкоштовна – виробник виклав код у загальний доступ.
Нещодавно дослідники з кібербезпеки виявили існування нової та раніше не виявленої критичної вразливості на SIM-картах, яка могла б давати можливість віддаленим зловмисникам компрометувати цільові мобільні телефони та шпигувати за жертвами, лише надсилаючи SMS.
Зверніть увагу, кількість шкідливих програм і виявлених вразливостей на платформі iOS значно зросла. Про це свідчать дані звіту компанії ESET щодо актуальні загрози для власників мобільних пристроїв Apple.
Функція в WhatsApp “Видалити для всіх” не видаляє мультимедійні файли, відправлені користувачам iPhone (з встановленими налаштуваннями за замовчуванням), залишаючи їх збереженими на iOS-пристрої одержувача, навіть якщо в месенджері відображається повідомлення “Це повідомлення було видалено”.
Apple відмикала функцію аудіо-чату Walkie Talkie у своїх розумних годинниках, щоб виправити уразливість, яка дозволяла б комусь прослуховувати думку користувачів без їх згоди. Декількома днями раніше дослідник з безпеки виявив аналогічний недолік в додатку для відеоконференцій Zoom, яке можна використовувати, щоб обдурити користувачів Mac при відкритті відеодзвінка, навіть якщо вони раніше видалили Zoom.