Специалисты McAfee обманули старые модификации автомобилей Tesla путем наклеивания черных лент на дорожные знаки.
Им удалось ввести в заблуждение систему распознавания дорожных знаков Mobileye (подразделение Intel) путем наклеивания черной вертикальной ленты на знак ограничения скорости "35 миль", в результате чего он превратился в "85 миль".
Стоит заметить, что в выпускаемых автомобилях Tesla система распознавания от Mobileye не используется.
Представители Intel резонно заметили, что такой поддельный знак запутает и обычных водителей. Тем не менее крики "Алярм!" разошлись по прессе.
Мы же отметим, что таких мамкиных хакеров, ломающих систему распознавания знаков, и в России достаточно. Сколько историй про номера В***РВ**, переделанных в Е***РЕ**, и наоборот.
https://www.cbsnews.com/news/tesla-tricked-into-speeding-by-researchers-using-electrical-tape/
Им удалось ввести в заблуждение систему распознавания дорожных знаков Mobileye (подразделение Intel) путем наклеивания черной вертикальной ленты на знак ограничения скорости "35 миль", в результате чего он превратился в "85 миль".
Стоит заметить, что в выпускаемых автомобилях Tesla система распознавания от Mobileye не используется.
Представители Intel резонно заметили, что такой поддельный знак запутает и обычных водителей. Тем не менее крики "Алярм!" разошлись по прессе.
Мы же отметим, что таких мамкиных хакеров, ломающих систему распознавания знаков, и в России достаточно. Сколько историй про номера В***РВ**, переделанных в Е***РЕ**, и наоборот.
https://www.cbsnews.com/news/tesla-tricked-into-speeding-by-researchers-using-electrical-tape/
CBS News
Tesla tricked into speeding by researchers using electrical tape
A security firm says its car test highlights some of the potential pitfalls of automated driving systems.
Forwarded from Беспощадный пиарщик
Девочки, прислали тут фотки. Говорят, с банковского форума в Магнитогорске. Проверить не можем. Но если так, то умеют люди развлекательную программу составлять, конечно.
Веселье в Магнитогорске продолжается.
Как нам подсказывают, то, что запостил Беспощадный пиарщик, - это продолжение лихого запева "Группы крови" под гитару все тех же персон с XII Уральского форума, которые уже отметились в нашем скромном канале.
Как говорится, информационная безопасность финансовой сферы в полный рост. Других инфосеков у нас для вас нет.
Как нам подсказывают, то, что запостил Беспощадный пиарщик, - это продолжение лихого запева "Группы крови" под гитару все тех же персон с XII Уральского форума, которые уже отметились в нашем скромном канале.
Как говорится, информационная безопасность финансовой сферы в полный рост. Других инфосеков у нас для вас нет.
Telegram
SecAtor
Нам тут подсказывают, что Илья Константинович Сачков, ведущий эксперт всех экспертных групп на свете и, по совместительству, глава Group-IB так и не бросил своих плохих привычек бычить на всех окружающих по любому поводу.
Не далее как 3 с половиной месяца…
Не далее как 3 с половиной месяца…
Check Point разместила материал о новом семействе кликеров в Google Play.
Изучая активность кликера BearClod, который был загружен из Play Store более 78 млн. (!) раз, исследователи наткнулись на новый аналогичный вредонос под назнаванием Haken. Кампания по его распространению только разворачивается, однако его уже успели загрузить более 50 тыс. пользователей.
В статье Check Point описывает механизмы обхода Haken проверки со стороны Google.
https://research.checkpoint.com/2020/android-app-fraud-haken-clicker-and-joker-premium-dialer/
Изучая активность кликера BearClod, который был загружен из Play Store более 78 млн. (!) раз, исследователи наткнулись на новый аналогичный вредонос под назнаванием Haken. Кампания по его распространению только разворачивается, однако его уже успели загрузить более 50 тыс. пользователей.
В статье Check Point описывает механизмы обхода Haken проверки со стороны Google.
https://research.checkpoint.com/2020/android-app-fraud-haken-clicker-and-joker-premium-dialer/
Check Point Research
Android App Fraud - Haken Clicker and Joker Premium Dialer - Check Point Research
Research by: Ohad Mana, Israel Wernik, Bogdan Melnykov, Aviran Hazum Intro Check Point researchers have recently discovered a new clicker malware family, along with fresh samples of the Joker malware family in Google Play. Throughout this publication we present…
Агентство оборонных информационных систем (DISA) Министерства обороны США признало, что в период с мая по июль 2019 года их сеть была скомпрометирована, в результате чего в распоряжение злоумышленников попали персональные данные сотрудников, включая номера социального страхования.
Ранее в феврале DISA начала рассылать письма потенциальным жертвам с предупреждением о возможной утечке. В официальном сообщении в адрес TechCrunch представитель DISA Чарльз Причард признал факт компрометации.
Похоже, что случилась утечка эпического (а может и неэпического) масштаба.
К гадалке не ходи, виноватыми окажутся китайцы.
https://techcrunch.com/2020/02/20/defense-agency-disa-breach/
Ранее в феврале DISA начала рассылать письма потенциальным жертвам с предупреждением о возможной утечке. В официальном сообщении в адрес TechCrunch представитель DISA Чарльз Причард признал факт компрометации.
Похоже, что случилась утечка эпического (а может и неэпического) масштаба.
К гадалке не ходи, виноватыми окажутся китайцы.
https://techcrunch.com/2020/02/20/defense-agency-disa-breach/
"Следующий!" - кричит заведующий.
Несмотря на приближающийся стремительным домкратом "День 23 февраля" мы продолжаем следить за происходящими в инфосек индустрии событиями, которые связаны с коронавирусом COVID-19.
Пока зараза долбит преимущественно по выставкам и конференциям.
Ранее IBM отказалось от участия в RSA Conference, которая должна пройти в Сан-Франциско на следующей неделе.
Теперь новых уклонистов подвезли - Verizon, AT & T и еще с десяток других компаний официально объявили об отказе от участия в конференции RSA.
В настоящее время проведение крупного (40000 участников) отраслевого мероприятия под вопросом. И хотя мэр Сан-Франциско уверяет, что в городе все под контролем и ни одного факта заражения коронавирусом не зафиксировано, народ побаивается.
Берите пример с Касперского, которые не спешат свой SAS отменять. Эти товарищи, имхо, даже в зараженном бубонной чумой городе конференции будут проводить. Потому что ФОТ сам по себе не срежется!
https://www.zdnet.com/article/verizon-pulls-out-of-rsa-conference-amid-coronavirus-concerns/
Несмотря на приближающийся стремительным домкратом "День 23 февраля" мы продолжаем следить за происходящими в инфосек индустрии событиями, которые связаны с коронавирусом COVID-19.
Пока зараза долбит преимущественно по выставкам и конференциям.
Ранее IBM отказалось от участия в RSA Conference, которая должна пройти в Сан-Франциско на следующей неделе.
Теперь новых уклонистов подвезли - Verizon, AT & T и еще с десяток других компаний официально объявили об отказе от участия в конференции RSA.
В настоящее время проведение крупного (40000 участников) отраслевого мероприятия под вопросом. И хотя мэр Сан-Франциско уверяет, что в городе все под контролем и ни одного факта заражения коронавирусом не зафиксировано, народ побаивается.
Берите пример с Касперского, которые не спешат свой SAS отменять. Эти товарищи, имхо, даже в зараженном бубонной чумой городе конференции будут проводить. Потому что ФОТ сам по себе не срежется!
https://www.zdnet.com/article/verizon-pulls-out-of-rsa-conference-amid-coronavirus-concerns/
ZDNET
Verizon pulls out of RSA conference amid coronavirus concerns
The fate of the 2020 RSA security conference is in question as prominent technology vendors continue to back out.
Forwarded from Антивирусное ДНО
Женская часть ЛК поздравила мужчин пародией на клип «Cream Soda - никаких больше вечеринок»
https://youtu.be/V0KTfQSYsCI
https://youtu.be/V0KTfQSYsCI
YouTube
Девушки Лаборатории Касперского на 23 февраля: Никаких больше...
Этой крайне странной зимой мы хотим поделиться нашими самыми сокровенными опасениями: вдруг вы неожиданно исчезнете? Нам без вас – не очень.
В свойственной нам манере фантазировать мы подготовили для вас видео обращение (зачеркнуто) поздравление. С 23-им…
В свойственной нам манере фантазировать мы подготовили для вас видео обращение (зачеркнуто) поздравление. С 23-им…
Поздравляем всех подписчиков (точнее, мужскую их часть) с Праздником 23 февраля!
Желаем всего! И себе тоже!
Сегодня и завтра канал встает на холд - катаемся на синем поезде. Просим понять и простить.
До встречи 25 числа.
Желаем всего! И себе тоже!
Сегодня и завтра канал встает на холд - катаемся на синем поезде. Просим понять и простить.
До встречи 25 числа.
История с таинственным сообщением, которое пришло владельцам смартфонов Samsung Galaxy, продолжается дальше.
После указанного инцидента выяснилось, что некоторое количество пользователей кроме сообщения получили доступ к персданным других владельцев смартфонов.
Как сказал пресс-секретарь Samsung британскому The Register - "техническая ошибка действительно привела к тому, что небольшое количество пользователей смогли просматривать данные других пользователей".
К тому же тут выясняется, что приложение Find my Mobile, которое, по словам Samsung, сгенерировало то самое сообщение, еще и удаляется только с помощью сторонней перепрошивки смартфона.
То есть оно само по себе что-то там генерит, дает привилегированный доступ, да еще и дустом его не выведешь.
А мы сразу предупреждали, что это восстание машин.
Истину вам говорим - ̶4̶ ̶м̶а̶я̶ ̶1̶9̶2̶5̶ ̶г̶о̶д̶а̶ ̶З̶е̶м̶л̶я̶ ̶н̶а̶л̶е̶т̶и̶т̶ ̶н̶а̶ ̶н̶е̶б̶е̶с̶н̶у̶ю̶ ̶о̶с̶ь̶ следующим смартфоны Samsung научатся генерировать инфразвуковые волны и убьют всех человеков.
https://www.theregister.co.uk/2020/02/24/samsung_data_breach_find_my_mobile/
После указанного инцидента выяснилось, что некоторое количество пользователей кроме сообщения получили доступ к персданным других владельцев смартфонов.
Как сказал пресс-секретарь Samsung британскому The Register - "техническая ошибка действительно привела к тому, что небольшое количество пользователей смогли просматривать данные других пользователей".
К тому же тут выясняется, что приложение Find my Mobile, которое, по словам Samsung, сгенерировало то самое сообщение, еще и удаляется только с помощью сторонней перепрошивки смартфона.
То есть оно само по себе что-то там генерит, дает привилегированный доступ, да еще и дустом его не выведешь.
А мы сразу предупреждали, что это восстание машин.
Истину вам говорим - ̶4̶ ̶м̶а̶я̶ ̶1̶9̶2̶5̶ ̶г̶о̶д̶а̶ ̶З̶е̶м̶л̶я̶ ̶н̶а̶л̶е̶т̶и̶т̶ ̶н̶а̶ ̶н̶е̶б̶е̶с̶н̶у̶ю̶ ̶о̶с̶ь̶ следующим смартфоны Samsung научатся генерировать инфразвуковые волны и убьют всех человеков.
https://www.theregister.co.uk/2020/02/24/samsung_data_breach_find_my_mobile/
The Register
Samsung cops to data leak after unsolicited '1/1' Find my Mobile push notification
Tight-lipped chaebol still won't talk about the dodgy app, though
Не совсем новый материал, но очень интересный - Лучшие VPN в 2020 году. Особенно в свете последовательного наступления государственной машины на нашу приватность.
Товарищи провели мощное тестирование популярных VPN-сервисов. Утверждают, что потратили более 65 часов.
Рекомендуют TunnelBear и Mullvad.
Товарищи провели мощное тестирование популярных VPN-сервисов. Утверждают, что потратили более 65 часов.
Рекомендуют TunnelBear и Mullvad.
Wirecutter: Reviews for the Real World
The Best VPN Service
You might not need a VPN, but if you want to add an extra layer of security to your web browsing, Mullvad has been our pick for years.
На прошлой неделе ФБР официально заявило, что рекомендует использование длинных passphrases вместо коротких гиковских паролей.
Представитель ФБР заявил, что "дополнительная длина парольной фразы усложняет взлом, а также облегчает запоминание".
Это мнение выросло не на пустом месте. Еще в 2017-2018 годах NIST включил это в свои рекомендации. Проблема только в одном - операционные системы пока так и не умеют управлять сложностью паролей как-то иначе, кроме как контролируя использование различающихся символов.
И в итоге все придет к тому, что при отключении стандартной проверки complexity и увеличения длины паролей существенная часть пользователей будут применять очевидные "двадцать единиц".
Что, без сомнения, очень порадует ФБР.
https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity/
Представитель ФБР заявил, что "дополнительная длина парольной фразы усложняет взлом, а также облегчает запоминание".
Это мнение выросло не на пустом месте. Еще в 2017-2018 годах NIST включил это в свои рекомендации. Проблема только в одном - операционные системы пока так и не умеют управлять сложностью паролей как-то иначе, кроме как контролируя использование различающихся символов.
И в итоге все придет к тому, что при отключении стандартной проверки complexity и увеличения длины паролей существенная часть пользователей будут применять очевидные "двадцать единиц".
Что, без сомнения, очень порадует ФБР.
https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity/
ZDNET
FBI recommends passphrases over password complexity
Longer passwords, even consisting of simpler words or constructs, are better than short passwords with special characters.
И в продолжение вопроса о проявлении озабоченности государственных структур приватностью рядовых пользователей.
Европейская комиссия рекомендовала своим сотрудникам использовать мессенджер Signal, чтобы повысить безопасность своих коммуникаций.
Эксперты сразу запели об "инновационности" протокола шифрования Signal, который "как WhatsApp, только открытый".
Открытый-то он открытый, да вот только есть одна закавыка. Если вы решите скомпилировать исходник Signal, то к серверам он не подключится. Ну потому что вот. Для общения извольте качать официальное приложение.
По крайней мере, так было когда мы последний раз интересовались приватностью этого мессенджера. Если что-то изменилось с тех пор - дайте знать.
AFAIK, единственным по настоящему open source мессенджером является Briar, но он есть исключительно на Android, да и инструментарием небогат.
А возвращаясь к рекомендациям ЕК - если государственная организация что-то рекомендует касательно "обеспечения приватности", то делай наоборот. Золотое правило.
https://www.politico.eu/article/eu-commission-to-staff-switch-to-signal-messaging-app/
Европейская комиссия рекомендовала своим сотрудникам использовать мессенджер Signal, чтобы повысить безопасность своих коммуникаций.
Эксперты сразу запели об "инновационности" протокола шифрования Signal, который "как WhatsApp, только открытый".
Открытый-то он открытый, да вот только есть одна закавыка. Если вы решите скомпилировать исходник Signal, то к серверам он не подключится. Ну потому что вот. Для общения извольте качать официальное приложение.
По крайней мере, так было когда мы последний раз интересовались приватностью этого мессенджера. Если что-то изменилось с тех пор - дайте знать.
AFAIK, единственным по настоящему open source мессенджером является Briar, но он есть исключительно на Android, да и инструментарием небогат.
А возвращаясь к рекомендациям ЕК - если государственная организация что-то рекомендует касательно "обеспечения приватности", то делай наоборот. Золотое правило.
https://www.politico.eu/article/eu-commission-to-staff-switch-to-signal-messaging-app/
POLITICO
EU Commission to staff: Switch to Signal messaging app
The move is part of EU’s efforts to beef up cybersecurity, after several high-profile incidents shocked diplomats and officials.
Вставим свои пять копеек про "известного эксперта в области информационной безопасности" Александра Литреева, которого третьего дня приняли в Екатеринбурге за мдмашки.
Несмотря на имеющееся позиционирование в СМИ, как инфосек эксперт Литреев отрасли незнаком. Его реноме - креатура ФБК Навального, сторонников которого отличают отнюдь не профессиональная компетентность, а солидарная ненависть ко всем за пределами своего движа.
Единственное - вполуха про "Красную кнопку" мы слышали, но с фамилией пациента не ассоциировали.
Что еще есть у Литреева? Полудохлый ТГ-канал с пятью авторскими постами в месяц? VPN клиент, который загрузили 500 раз? На звание "известного эксперта" не хватает.
Повторимся - не надо пихать в инфосек политоту. У нас своих сумасшедших хватает. То топы ведущих компаний по синеве махаются, то бабы голые на инфосек форумах лежат.
А вообще, мы тут подмечаем, что чем больше человек "за правду" - тем больше у него в штанах девиаций. Как говорил Швейк - "эти знатные баре в большинстве случаев педерасты."
Тем более Литреев полную признанку дал. Не Голунов однозначно.
Dixi
https://meduza.io/feature/2020/02/24/sozdatelya-proekta-po-deanonimizatsii-politseyskih-aleksandra-litreeva-arestovali-po-delu-o-narkotikah
Несмотря на имеющееся позиционирование в СМИ, как инфосек эксперт Литреев отрасли незнаком. Его реноме - креатура ФБК Навального, сторонников которого отличают отнюдь не профессиональная компетентность, а солидарная ненависть ко всем за пределами своего движа.
Единственное - вполуха про "Красную кнопку" мы слышали, но с фамилией пациента не ассоциировали.
Что еще есть у Литреева? Полудохлый ТГ-канал с пятью авторскими постами в месяц? VPN клиент, который загрузили 500 раз? На звание "известного эксперта" не хватает.
Повторимся - не надо пихать в инфосек политоту. У нас своих сумасшедших хватает. То топы ведущих компаний по синеве махаются, то бабы голые на инфосек форумах лежат.
А вообще, мы тут подмечаем, что чем больше человек "за правду" - тем больше у него в штанах девиаций. Как говорил Швейк - "эти знатные баре в большинстве случаев педерасты."
Тем более Литреев полную признанку дал. Не Голунов однозначно.
Dixi
https://meduza.io/feature/2020/02/24/sozdatelya-proekta-po-deanonimizatsii-politseyskih-aleksandra-litreeva-arestovali-po-delu-o-narkotikah
Meduza
Создателя проекта по деанонимизации полицейских Александра Литреева арестовали по делу о наркотиках
Адвокат Александра Литреева Алексей Бушмаков рассказал «Медузе», что 22 февраля IT-специалист прилетел в Екатеринбург по личным делам — он планировал встретиться с девушкой, с которой познакомился в инстаграме. В Екатеринбург он прилетел на один день — 23 февраля…
В прошедшие выходные зафиксирована масса несанкционированных платежей с аккаунтов PayPal, которые осуществлялись злоумышленниками путем эксплуатации уязвимости в интеграции PayPal с Google Play.
По данным ZeroDay, предполагаемые убытки составляют десятки тысяч евро. Отдельные транзакции достигали суммы в 1000 нефти.
Немецкий исследователь Маркус Фенске сообщает в своем Twitter, что в отношении уязвимости, позволившей произвести указанные транзакции, он и его коллега Андреас Майер проинформировали PayPal еще в феврале 2019 года. Компания даже заплатила баунти за нахождение дырки, однако забила на ее устранение.
Сегодня утром PayPal сообщила, что закрыла уязвимость. Вернет ли платежная система деньги - неясно.
И еще один интересный момент - несмотря на то, что пострадавшие, в основном, находятся на территории Германии, большая часть транзакций проведена через магазины США. Тут на иранских и китайских хакеров стрелки перевести не получится.
А вот на русских - запросто. For example - Fancy Bear взломали PayPal и вывели деньги через американские магазины, чтобы повлиять на американские выборы 2020. Все, оконченный состав преступления на лицо.
https://www.zdnet.com/article/paypal-accounts-are-getting-abused-en-masse-for-unauthorized-payments/
По данным ZeroDay, предполагаемые убытки составляют десятки тысяч евро. Отдельные транзакции достигали суммы в 1000 нефти.
Немецкий исследователь Маркус Фенске сообщает в своем Twitter, что в отношении уязвимости, позволившей произвести указанные транзакции, он и его коллега Андреас Майер проинформировали PayPal еще в феврале 2019 года. Компания даже заплатила баунти за нахождение дырки, однако забила на ее устранение.
Сегодня утром PayPal сообщила, что закрыла уязвимость. Вернет ли платежная система деньги - неясно.
И еще один интересный момент - несмотря на то, что пострадавшие, в основном, находятся на территории Германии, большая часть транзакций проведена через магазины США. Тут на иранских и китайских хакеров стрелки перевести не получится.
А вот на русских - запросто. For example - Fancy Bear взломали PayPal и вывели деньги через американские магазины, чтобы повлиять на американские выборы 2020. Все, оконченный состав преступления на лицо.
https://www.zdnet.com/article/paypal-accounts-are-getting-abused-en-masse-for-unauthorized-payments/
ZDNET
PayPal accounts abused en-masse for unauthorized payments
All signs point to an attack exploiting PayPal's Google Pay integration.
Google выпустил обновление 80.0.3987.122 для Chrome, которое устраняет 3 уязвимости, в том числе 0day дырку CVE-2020-6418.
Судя по всему, CVE-2020-6418 была найдена исследователями Google Threat Analysis Group чуть ли не сегодня и ее уже кто-то успел поюзать. Подробностей товарищи из Маунтин-Вью не сообщают, чтобы "другие злоумышленники не стали его использовать", но связана уязвимость, как обычно, с движком Java Script.
Всем срочно обновлять Chrome.
https://securityaffairs.co/wordpress/98440/hacking/google-fixes-chrome-zero-day.html
Судя по всему, CVE-2020-6418 была найдена исследователями Google Threat Analysis Group чуть ли не сегодня и ее уже кто-то успел поюзать. Подробностей товарищи из Маунтин-Вью не сообщают, чтобы "другие злоумышленники не стали его использовать", но связана уязвимость, как обычно, с движком Java Script.
Всем срочно обновлять Chrome.
https://securityaffairs.co/wordpress/98440/hacking/google-fixes-chrome-zero-day.html
Security Affairs
Google fixes Chrome zero-day flaw exploited in the wild
Google has released Chrome 80 update that addresses three high-severity vulnerabilities, one of them has been exploited in the wild.
В продолжение поста об очевидной пользе длинных смысловых паролей и, одновременно, о невозможности современных ОС проконтролировать соответствие пользовательского пароля этим требованиям.
G Data разметила материал о том, что, вопреки сложившимся в инфосеке практикам, регулярная смена паролей не только не приносит пользы, но и наоборот - наносит ущерб информационной безопасности.
Рассуждения автора выглядят вполне логично - рядовой сотрудник, вынужденный достаточно часто придумывать новый пароль, да такой, чтобы тот не совпадал со старыми, приходит к решению, которое сильно экономит его умственную энергию и не треплет нервы. Он начинает использовать пароли-симулякры формата "MyPassword", "MyPassword2", затем "MyPassword3". Что в итоге делает их уязвимыми.
И да, несменяемость пароля не означает его стойкость - эксцесс исполнителя никто не отменял.
На заметку админам и ответственным лицам, пишущим регламенты инфосека.
https://www.gdatasoftware.com/blog/2020/02/35879-changing-passwords-regularly-damages-security
G Data разметила материал о том, что, вопреки сложившимся в инфосеке практикам, регулярная смена паролей не только не приносит пользы, но и наоборот - наносит ущерб информационной безопасности.
Рассуждения автора выглядят вполне логично - рядовой сотрудник, вынужденный достаточно часто придумывать новый пароль, да такой, чтобы тот не совпадал со старыми, приходит к решению, которое сильно экономит его умственную энергию и не треплет нервы. Он начинает использовать пароли-симулякры формата "MyPassword", "MyPassword2", затем "MyPassword3". Что в итоге делает их уязвимыми.
И да, несменяемость пароля не означает его стойкость - эксцесс исполнителя никто не отменял.
На заметку админам и ответственным лицам, пишущим регламенты инфосека.
https://www.gdatasoftware.com/blog/2020/02/35879-changing-passwords-regularly-damages-security
Gdatasoftware
Changing passwords regularly damages security
There’s a saying that you should treat passwords like your underwear - change them regularly and don't share them with others. However, opposition to this has been building for some time now. Changing passwords regularly doesn't improve security - quite the…
А вот и причина отказа большинства крупных компаний от участия в RSA Conference - оказывается в Сан-Франциско самый большой и старый Чайнатаун (место тусовки китайской диаспоры).
Forwarded from Китай - Вавилов
Китайская столица США Сан-Франциско объявил о чрезвычайном положении в связи с коронавирусом, несмотря на отсутствие случаев заражения в городе. Reuter’s
В хранилищах NAS производства компании Zyxel обнаружилась критическая 0day уязвимость (CVE-2020-9054), которая позволяет удаленно исполнять код с root правами. Под ударом прошивка 5.21 и более ранние.
Ошибка кроется в некорректной обработке передаваемого серверу имени пользователя - в случае включения в него определенных символов злоумышленник получает возможность запуска вредоносного кода.
Об указанной уязвимости сообщил Брайан Кребс (тот самый, автор "Spam Nation"). По его информации, работающий эксплойт доступен для продажи на хакерских форумах за 20 тыс. долларов.
Zyxel оперативно выпустила обновление, но только для устройств, которые в настоящее время находятся на техподдержке. Большая часть NAS-хранилищ (NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2) останется уязвимыми.
https://securityaffairs.co/wordpress/98461/hacking/zyxel-critical-rce.html
Ошибка кроется в некорректной обработке передаваемого серверу имени пользователя - в случае включения в него определенных символов злоумышленник получает возможность запуска вредоносного кода.
Об указанной уязвимости сообщил Брайан Кребс (тот самый, автор "Spam Nation"). По его информации, работающий эксплойт доступен для продажи на хакерских форумах за 20 тыс. долларов.
Zyxel оперативно выпустила обновление, но только для устройств, которые в настоящее время находятся на техподдержке. Большая часть NAS-хранилищ (NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2) останется уязвимыми.
https://securityaffairs.co/wordpress/98461/hacking/zyxel-critical-rce.html
Security Affairs
Zyxel addresses Zero-Day vulnerability in NAS devices
Tech vendor Zyxel addresses a critical vulnerability in several network-attached storage (NAS) devices that is already being exploited in the wild.