События

Уязвимости в межсетевых экранах Kerio Control позволяют скомпрометировать корпоративную сеть

Уязвимости в межсетевых экранах Kerio Control позволяют скомпрометировать корпоративную сеть

Эксперты компании SEC Consult обнаружили множественные уязвимости в программном комплексе Kerio Control, позволяющие злоумышленникам получить доступ к межсетевому экрану и внутренней сети целевой компании. Для этого атакующим нужно всего лишь заставить сотрудников предприятия перейти по вредоносной ссылке.

Успешная атака предполагает совместную эксплуатацию проблем и может осуществляться двумя методами. Первый способ опирается на использование социальной инженерии с целью заставить сотрудника компании посетить вредоносную web-страницу. На данной странице содержится скрипт JavaScript, который определяет внутренний IP-адрес компьютера, а затем отправляет IP-адрес межсетевого экрана на другой вредоносный модуль. В свою очередь, второй модуль при помощи метода брутфорс пытается получить учетные данные панели администратора Kerio Control. Используя компьютер жертвы, атакующий при помощи других эксплоитов загружает шелл-код, позволяющий ему получить удаленный доступ к межсетевому экрану.

Второй метод атаки предполагает эксплуатацию уязвимостей в механизме автоматического обновления Kerio Control. Первая позволяет удаленно выполнить код, вторая – осуществить XSS-атаку.

В общей сложности сотрудники SEC Consult обнаружили 9 уязвимостей в решениях Kerio Control, позволяющих удаленно выполнить код, в том числе с правами администратора, обойти CSRF-защиту, осуществить XSS-атаку, раскрыть важные данные и обойти защиту ASLR, получить доступ к учетным данным при помощи метода брутфорс. Проблемы затрагивают версии Kerio Control 9.1.0 (сборка 1087) и 9.1.1 (сборка 1324). Производитель уже устранил вышеуказанные уязвимости с выпуском корректирующего обновления 9.1.3. Что интересно, в исправленной версии продукта исследователи обнаружили еще одну XSS-уязвимость. Когда будет доступен патч для данного релиза, не сообщается.

Специалисты SEC Consult опубликовали видеоролик с демонстрацией процесса эксплуатации уязвимостей.

Автор: Сергей Куприянов
23.09.2016 (15:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.