Seagate незаметно пропатчила опасную уязвимость в Personal Cloud Storage
Злоумышленник мог запускать неавторизованные команды через веб-интерфейс медиасервера NAS-хранилища Seagate Pesonal Cloud.
В октябре прошлого года Йорик Костер, независимый специалист по информационной безопасности, обнаружил брешь в прошивке персонального NAS-хранилища от Seagate. Костер отправил производителю информацию об уязвимости, но ответа так и не получил. Сейчас стало известно, что Seagate, не поднимая шума, самостоятельно закрыла эту брешь.
Неавторизованные команды
Уязвимость затрагивала медиасервер — это веб-служба, которая позволяет пользователям взаимодействовать с данными, хранящимися на диске, подключенном к сети. Злоумышленник мог запускать неавторизованные команды через веб-интерфейс, используя искаженные запросы к двум файлам — getLogs и uploadTelemetry.
Труднодоступная брешь
Но вот в чем подвох: этот интерфейс доступен только через локальную сеть. Единственный способ использовать брешь состоял в принуждении пользователя перейти по неверному, искаженному URL на устройстве, находящемся в одной локальной сети с NAS-хранилищем.
Этого можно было добиться с помощью фишинга или вредоносной рекламы. К примеру, злоумышленник мог внедрить вредоносный код в рекламное объявление, и тогда при переходе на сайт скрытый код использовал бы уязвимость NAS.
Всем владельцам Seagate Personal Cloud Storage настоятельно рекомендуется обновить ПО своих устройств.
589 открытий589 показов
Облегчённую версию новой операционной системы Windows 11 смогли запустить в памяти Nvidia GeForce RTX 3050.
Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.
JWT — это JSON Web Tokens, простой и безопасный способ передачи информации между клиентом и сервером с помощью шифрования.
Перед вами 10 задачек, связанных с шифрами, кодами и хешами. Попробуйте пройти все от простого шифра Цезаря до взлома хеш-функции!