Хакеры могут удаленно использовать уязвимости в устройствах видеоконференцсвязи

Уязвимость затрагивает более старые продукты, но может позволить внешним злоумышленникам получить доступ к внутренним сетям.

Дэнни Палмер | 7 февраля 2019 — 13:12 GMT (05:12 PST) | Тема: Безопасность

Уязвимости безопасности в некоторых подключенных продуктах для проведения видеоконференций могут позволить хакерам удаленно получить контроль над оборудованием и использовать его в качестве инструмента отслеживания.

Уязвимости удаленного ввода команд ОС влияют на четыре корпоративных продукта Lifesize для совместной работы — Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker, которые были обнаружены исследователями из охранной фирмы Trustwave.

Чтобы воспользоваться этой уязвимостью, злоумышленники должны получить доступ к микропрограммному обеспечению продуктов Lifesize, а также узнать серийный номер устройства.

Но если этого можно добиться, исследователи считают «тривиальным» получить контроль над устройством с помощью некоторых программных инструментов и информации со страницы поддержки Lifesize, которая может помочь обеспечить «черный ход» в устройстве. Устройства также связаны с учетной записью поддержки по умолчанию, которая поставляется с паролем по умолчанию — то, что многие пользователи не изменили бы, предоставляя злоумышленникам важную часть загадки компромисса.

Первоначальная уязвимость проистекает из того, что исследователи описывают как программную ошибку, которая позволяет вводить данные пользователем, не ограничиваясь дезинфекцией с использованием функций оболочки. Комбинируя это с ошибкой повышения привилегий, можно выполнять системные команды, предоставляя злоумышленникам точку опоры в сети, в которой работает продукт Lifesize.

Похожие статьи

Ученые Wi-Fi MIT разрабатывают устройство, которое... Ученые Массачусетского технологического института разрабатывают устройство, которое использует сигналы Wi-Fi для производства электроэнергии БОСТОН: Ученые из Массачусетского технологического института разработали первое полностью гибкое устройство, которое может преобразовывать энергию из сигналов Wi-Fi в электричество, прокладывая путь к беспр...
Зарядное Устройство Орион Pw270 Как Пользоваться... Зарядное устройство Орион PW270 купить в NEVA-PL Зарядное устройство Орион PW270 Данный товар есть на нашем складе или складе нашего поставщика. Данный товар можно оплатить любым доступным на данный момент способом. Обратите внимание! Некоторые товары при заказе в регионы отправляются только после частичной предоплаты. ...
Умное Зарядное Устройство Для Автомобильного Аккум... Наилучшее зарядное устройство для авто аккума. Как его избрать и что необходимо знать? Подбирая зарядного устройства в первую очередь требуется знать тип аккума, установленного в машине, ведь некоторые образцы требуют индивидуального внимания и подхода. К примеру, это касается свинцовых батарей — они требуют использования особых зарядок. Для больши...
Топ Three Зарядное Устройство Для Телефона | Заряд... ТОП three Зарядное устройство для телефона | Зарядка аккумулятора с AliExpress Создатель: GOODSSHOW Крутые товары с AliExpress Размещено: twenty мая two thousand seventeen г. Просмотрено: four 012 Мне понравилось: 14 Мне не понравилось: 33 Ссылки на наилучшие зарядные устройства:1 3.5 3 Какое зарядное устройство лучший вариант купить из Китая деш...

Объедините это повышение привилегий с уязвимостью внедрения команд, и вы сможете получить полное постоянство на устройстве.

«Благодаря этому у вас есть доступ ко всему. Любое видео или аудио, хранящиеся на этой машине, можно будет получить довольно просто», — сказал ZDNet Эд Уильямс, директор исследовательского отдела Spiderlabs компании Trustwave.

«Эту машину можно использовать в качестве панели запуска для атаки на другие машины. Скажем, это аудиооборудование имеет выход в Интернет, благодаря этой уязвимости вы можете получить доступ к базовой операционной системе. Из внешней атаки вы можете получить внутренний доступ — это худший вариант развития событий, но потенциально очень серьезный. "

Характер атаки означает, что будет трудно определить, было ли взломано какое-либо устройство, а это означает, что существует вероятность того, что эта уязвимость уже была использована в открытом доступе.

«Было бы трудно сказать, было ли получено доступ к устройству, потому что устройства такого типа не имеют очень хорошей регистрации. В результате трудно понять, что происходит, поэтому будет трудно выяснить, если это является основной причиной нападения. Злоумышленники, вероятно, будут искать и использовать это, "сказал Уильямс.

Lifesize сообщил ZDNet, что выпустит патч для уязвимых продуктов.

«Мы активно работаем над устранением этой уязвимости и автоматически исправляем все системы Icon 220, подключенные к Lifesize Cloud. Для устройств, не подключенных к облаку, пользователям потребуется установить исправление, и мы будем работать с каждым затронутым клиентом, чтобы устранить проблему. выпускать как можно быстрее », — сказал Бобби Бекманн, технический директор Lifesize.

Для защиты от атак, использующих эту уязвимость, компания Tenable призывает пользователей изменить пароли устройств по умолчанию. Также рекомендуется, чтобы пользователи знали, какие устройства находятся в их сети и были ли они в курсе

«Узнайте, что у вас работает, и можно ли использовать его в Интернете или в Интернете. Если это так, обновите встроенное программное обеспечение или отключите его от Интернета. Убедитесь, что устройства находятся в отдельной сети, так что если кто-то сможет подключиться к нему» "Это так далеко, как они могут получить", сказал Уильямс.

Trustwave опубликовал полный технический анализ уязвимости в блоге компании.

ЧИТАЙТЕ БОЛЬШЕ О КИБЕР-БЕЗОПАСНОСТИ

Похожие статьи

Как Сделать Зарядное Устройство Для Автомобиля... В старенькых черно-белых ламповых телеках (огромных), употреблялся силовой трансформатор ТС-180-2. Из этого трансформатора делают очень обычное зарядное устройство для аккума автомобиля. У ТС-180-2 бывают две вторичные обмотки, рассчитанные на напряжение 6.4 В и ток 4.7 Если их соединить поочередно, то получим выходное напряжение 12.8 В. Этого напр...
Зарядное Устройство Для Аккумулятора 14 4... Силовую часть зарядного устройства шуроповерта представляет силовой трансформатор типа GS-1415 рассчитанный на мощность 25 Ватт. Со вторичной обмотки трансформатора снимается пониженное переменное напряжение номиналом 18В оно следует на диодный мост из 4 диодов VD1-VD4 типа 1N5408, через плавкий предохранитель. Диодный мост. Кто полупроводниковый э...
Как Уменьшить Силу Тока Зарядного Устройства... Модернизация маломощного зарядного устройства Понятно два главных варианта зарядных устройств (ЗУ), применяемых для обслуживания маломощных электрических устройств с аккумуляторным питанием. Принципная схема первого из их представлена на Рис.1. Такими устройствами оснащались наши приборы пару лет вспять, когда батареи, по сопоставлению с современны...
Как Использовать Айпад Как Навигатор... Какой навигатор для iPad наилучший С широким распространением цифровых информационных сервисов и огромным количеством мобильных устройств различного рода «на руках» у юзеров, пришло ожидаемое распространение программ-навигаторов. Это приложения, которые употребляют данные за ранее составленных карт дорог, местности и расположения объект...