События

Сетевые накопители LG подвержены критической уязвимости

Сетевые накопители LG подвержены критической уязвимости

В различных моделях сетевых накопителей производства компании LG Electronics обнаружена уязвимость, позволяющая удаленно выполнить команды, полностью скомпрометировать устройство и получить доступ к конфиденциальным данным.

Уязвимость, выявленная специалистами компании VPN Mentor, существует в связи с ненадлежащей проверкой параметра «password» на странице авторизации для удаленного управления, что предоставляет злоумышленникам возможность удаленно выполнить произвольные команды через поле для ввода пароля.

Атакующие могут проэксплуатировать вышеописанную проблему для создания простой командной оболочки на уязвимом устройстве, а затем с ее помощью выполнить команды, в том числе для загрузки полной базы данных накопителя, включая электронные сообщения, логины и хеши паролей. Так как пароли хешированы с помощью ненадежного алгоритма MD5, злоумышленникам не составит труда взломать их. В случае, если атакующие не намерены взламывать хеши, они могут просто создать нового пользователя и с помощью его учетных данных авторизоваться на устройстве, поясняют исследователи. Для создания нового пользователя злоумышленнику потребуется всего лишь сгенерировать валидный хеш MD5.

В настоящее время проблема остается неисправленной. Сроки выпуска патча также неизвестны. Пользователям LG NAS-устройств рекомендуется разрешить доступ к хранилищам только доверенным IP-адресам, а также периодически проверять все зарегистрированные на устройстве учетные записи на предмет вредоносной активности.

Исследователи опубликовали видео с демонстрацией процесса эксплуатации уязвимости. О каких именно моделях сетевых накопителей идет речь специалисты не раскрыли.

Источник

Автор: Сергей Куприянов
19.04.2018 (17:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.