Компанія виправила в своїх мережевих сховищах (NAS) критичну уразливість, уже експлуатовану кіберзлочинцями в реальних атаках. За шкалою оцінювання небезпеки уразливостей CVSS вона отримала максимальні 10 балів.
Уразливість CVE-2020-9054 дозволяє неавторизованому зловмиснику віддалено виконати код і зачіпає виконуваний файл weblogin.cgi, нездатний належним чином очистити переданий йому параметр імені користувача. Завдяки цьому атакуючий може проексплуатувати уразливість, додавши в ім’я користувача певні символи, і впроваджувати команди з привілеями web-сервера. Потім за допомогою вбудованої в пристрій утиліти setuid він може запускати команди з привілеями суперкористувача.
Для експлуатації уразливості потрібно відправити особливим чином зконфігурований HTTP POST- або GET-запит. Експлуатація бага можлива навіть в разі відсутності у атакуючого безпосереднього доступу до уразливого пристрою через Інтернет, якщо жертва зайде на шкідливий сайт.
Експлойт для уразливості вже деякий час продається на підпільних форумах. Як повідомляє журналіст Брайан Кребс, зараз його ціна становить $ 20 тис., і до нього вже придивляються кіберзлочинні угруповання, які спеціалізуються на масових зараженях здирницьким ПЗ. Додати експлойт в своє шкідливе ПЗ також має намір угруповання Emotet.
Проблема зачіпає пристрої з версією прошивки 5.21 і нижче. Zyxel випустила оновлення для чотирьох моделей – NAS326, NAS520, NAS540 і NAS542. Однак десять інших моделей, NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 і NSA325v2, більше не підтримуються виробником і тому не отримають оновлення.
Щоб уникнути можливих кібератак з використанням уразливості адміністраторам пристроїв рекомендується заблокувати доступ до web-інтерфейсу (80/TCP і 443/TCP) і відключити мережеві сховища від Інтернету. Також варто ізолювати від Інтернету машини з доступом до web-інтерфейсу вразливих NAS.
Нагадуємо, офіційний додаток Firefox Private Network VPN для Android вже доступний для завантаження в Google Play, хоча сам VPN-сервіс знаходиться в статусі закритого бета-тестування.
Також двоє 31-річних мешканців Харківщини за допомогою активного сканування сайту на вразливість із використанням спеціалізованого програмного забезпечення та засобів анонімізації здійснювали несанкціоновані втручання в роботу сайтів конкурентів та отримували доступ баз даних.
Зверніть увагу, кільця з NFC-чипом стали доступними для власників карток Visa, випущених державним “Ощадбанком”. Клієнти банку отримали можливість користувтаися технологічною новинкою, за яку доведеться викласти 3,5 тисячі гривень.
До речі, за допомогою TensorFlow.js можна в режимі реального часу “стерти” людини в кадрі, при цьому вся навколишня його обстановка залишається колишньою.
Окрім цього, Google надає користувачам можливість синхронізувати паролі при авторизації в облікового запису, проте в майбутньому в браузері Chrome можуть з’явитися додаткові налаштування контролю, які дозволять користувачам вибирати, які паролі і де потрібно зберігати – локально на пристрої, в хмарі або в обліковому записі Google.