Уязвимость затрагивает более старые продукты, но может позволить внешним злоумышленникам получить доступ к внутренним сетям.

Дэнни Палмер | 7 февраля 2019 — 13:12 GMT (05:12 PST) | Тема: Безопасность

Уязвимости безопасности в некоторых подключенных продуктах для проведения видеоконференций могут позволить хакерам удаленно получить контроль над оборудованием и использовать его в качестве инструмента отслеживания.

Уязвимости удаленного ввода команд ОС влияют на четыре корпоративных продукта Lifesize для совместной работы — Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker, которые были обнаружены исследователями из охранной фирмы Trustwave.

Чтобы воспользоваться этой уязвимостью, злоумышленники должны получить доступ к микропрограммному обеспечению продуктов Lifesize, а также узнать серийный номер устройства.

Похожие статьи
Простое Зарядное Устройство Для Аккумулятора Своим... Авто бортовую сеть до того времени, пока силовая установка не запустится питает аккумуляторная батарея. Но сама она электронную энергию не производит. Аккумулятор просто является вместилищем электроэнергии, которая храниться в нем и при надобности отдается потребителям. После израсходованная энергия восстанавливается за счет работы генератора, кото...
Как Заряжать Автомобильный Аккумулятор Зарядным Ус... Более необходимыми причинами приобретения зарядного устройства становится подготовка автомобиля к грозному зимнему климату Рф. Погода нередко преподносит сюрпризы, и многие авто переносят их не очень отлично. У каждого уважающего себя автовладельца в арсенале должен иметься данный устройство, так же как запасное колесо либо набор ключей. Даже самый...

Но если этого можно добиться, исследователи считают «тривиальным» получить контроль над устройством с помощью некоторых программных инструментов и информации со страницы поддержки Lifesize, которая может помочь обеспечить «черный ход» в устройстве. Устройства также связаны с учетной записью поддержки по умолчанию, которая поставляется с паролем по умолчанию — то, что многие пользователи не изменили бы, предоставляя злоумышленникам важную часть загадки компромисса.

Первоначальная уязвимость проистекает из того, что исследователи описывают как программную ошибку, которая позволяет вводить данные пользователем, не ограничиваясь дезинфекцией с использованием функций оболочки. Комбинируя это с ошибкой повышения привилегий, можно выполнять системные команды, предоставляя злоумышленникам точку опоры в сети, в которой работает продукт Lifesize.

Объедините это повышение привилегий с уязвимостью внедрения команд, и вы сможете получить полное постоянство на устройстве.

«Благодаря этому у вас есть доступ ко всему. Любое видео или аудио, хранящиеся на этой машине, можно будет получить довольно просто», — сказал ZDNet Эд Уильямс, директор исследовательского отдела Spiderlabs компании Trustwave.

Похожие статьи
Как Сделать Зарядное Устройство Из Компьютерного... Долгая эксплуатация автомобиля приводит для того, что генератор перестаёт заряжать батарею. Поэтому автомобиль не просто не заводится. Чтоб воскресить машину нужно зарядное устройство. А дополнительно кислотно-свинцовые батареи владеют завышенной чувствительностью к температурам. Потому с их работой бывают трудности, если по ту сторону окна минусов...
Как Пользоваться Зарядным Устройством Кедр... Зарядное устройство Кедр-Авто 4А: аннотация. Зарядное устройство для автомобильных аккумуляторов В арсенале каждого автовладельца должно иметься авто зарядное устройство для аккума. Эксплуатация тс без данного устройства может существенно усложниться. Более полезным авто зарядное устройство возможно окажется в зимнее время года, когда АКБ приходитс...

«Эту машину можно использовать в качестве панели запуска для атаки на другие машины. Скажем, это аудиооборудование имеет выход в Интернет, благодаря этой уязвимости вы можете получить доступ к базовой операционной системе. Из внешней атаки вы можете получить внутренний доступ — это худший вариант развития событий, но потенциально очень серьезный. "

Характер атаки означает, что будет трудно определить, было ли взломано какое-либо устройство, а это означает, что существует вероятность того, что эта уязвимость уже была использована в открытом доступе.

«Было бы трудно сказать, было ли получено доступ к устройству, потому что устройства такого типа не имеют очень хорошей регистрации. В результате трудно понять, что происходит, поэтому будет трудно выяснить, если это является основной причиной нападения. Злоумышленники, вероятно, будут искать и использовать это, "сказал Уильямс.

Lifesize сообщил ZDNet, что выпустит патч для уязвимых продуктов.

«Мы активно работаем над устранением этой уязвимости и автоматически исправляем все системы Icon 220, подключенные к Lifesize Cloud. Для устройств, не подключенных к облаку, пользователям потребуется установить исправление, и мы будем работать с каждым затронутым клиентом, чтобы устранить проблему. выпускать как можно быстрее », — сказал Бобби Бекманн, технический директор Lifesize.

Похожие статьи
Как Сделать Зарядное Устройство Из Блока Компьютер... Сделаем зарядное устройство из блока питания компьютера Основная масса людей, приобретая новую компьютерную технику, выкидывают на помойку свой старый системник. Это довольно недальновидно, ведь в нем могут находиться еще работоспособные комплектующие, которые используют для других целей. Например, мы говорим о блоке питания компьютера, из которог...
Зарядное Устройство Для Аккумулятора Авто Как Выбр... Как избрать правильное зарядное устройство для авто аккума Что это зарядное для аккума Самой частой предпосылкой поломки аккума (АКБ) является его разрядка. Чтоб его вернуть употребляются зарядные устройства. Увы на автомашинах случаются установлены различные виды аккумов, и них просит особенного подхода к зарядке: Кислотные либо свинцовые батар...

Для защиты от атак, использующих эту уязвимость, компания Tenable призывает пользователей изменить пароли устройств по умолчанию. Также рекомендуется, чтобы пользователи знали, какие устройства находятся в их сети и были ли они в курсе

«Узнайте, что у вас работает, и можно ли использовать его в Интернете или в Интернете. Если это так, обновите встроенное программное обеспечение или отключите его от Интернета. Убедитесь, что устройства находятся в отдельной сети, так что если кто-то сможет подключиться к нему» "Это так далеко, как они могут получить", сказал Уильямс.

Trustwave опубликовал полный технический анализ уязвимости в блоге компании.

ЧИТАЙТЕ БОЛЬШЕ О КИБЕР-БЕЗОПАСНОСТИ

Похожие статьи
Вот 20 портативных технических гаджетов, которые в... Вот 20 портативных технических гаджетов, которые вы хотите использовать каждый день Электроника становится все меньше и меньше, и у всех нас, кажется, есть свои особые устройства, без которых мы никогда не покинем дом. Вероятно, у вас уже есть смартфон с собой, куда бы вы ни пошли, но если вы ищете новую технологию или просто делаете покупки после...
Можно Ли Использовать Роутер Как Wifi Адаптер... Можно ли использовать роутер как wifi адаптер Используем роутер в качестве Wi-Fi приемника для подключения телевизора к интернету по Wi-Fi Привет! В этой статье, я пообещал поведать об одной увлекательной схеме, которую можно использовать для подключения телека к вебу по беспроводной сети. Я стремительно расскажу в чем заключается сущность этого...