У різних моделях мережевих накопичувачів виробництва компанії LG Electronics виявлена уразливість, що дозволяє віддалено виконати команди, повністю скомпрометувати пристрій і отримати доступ до конфіденційних даних.
Підпишись на наш Viber: новини, гумор та розваги!
ПідписатисяУразливість,виявлена фахівцями компанії VPN Mentor, існує у зв'язку з неналежною перевіркою параметра "password" на сторінці авторизації для віддаленого управління, що надає зловмисникам можливість віддалено виконати довільні команди через поле для введення пароля.
Атакуючі можуть проексплуатувати вищеописану проблему для створення простої командної оболонки на вразливому пристрої, а потім з її допомогою виконати команди, в тому числі для завантаження повної бази даних накопичувача, включаючи електронні повідомлення, логіни і хеши паролів. Так як паролі хешированы з допомогою надійного алгоритму MD5, зловмисникам не важко зламати їх.
У разі, якщо атакуючі не мають наміру зламувати хеши, вони можуть просто створити нового користувача і з допомогою його облікових даних авторизуватися на пристрої, пояснюють дослідники. Для створення нового користувача зловмисникові потрібно всього лише згенерувати валідний хеш MD5.
В даний час проблема залишається невиправлена. Терміни випуску патча також невідомі. Користувачам LG NAS-пристроїв рекомендується дозволити доступ до сховищ тільки довіреною IP-адресам, а також періодично перевіряти всі зареєстровані на пристрої облікові записи на предмет шкідливої активності.
Дослідники опублікували відео з демонстрацією процесу експлуатації уразливості. Про яких саме моделях мережевих накопичувачів йдеться фахівці не розкрили.
Раніше портал "Знай.uа" повідомив, що користувачам краще зробити все необхідне для того, щоб не зламати свій новий iMac Pro. Саме з такою експертною радою виступили блогери з телеканалу Linus Tech Tips. Відомо, що компанія Apple напевно відмовить у ремонті, розписавшись у його неможливості.