Хакеры могут удаленно использовать уязвимости в устройствах видеоконференцсвязи

Уязвимость затрагивает более старые продукты, но может позволить внешним злоумышленникам получить доступ к внутренним сетям.

Дэнни Палмер | 7 февраля 2019 — 13:12 GMT (05:12 PST) | Тема: Безопасность

Уязвимости безопасности в некоторых подключенных продуктах для проведения видеоконференций могут позволить хакерам удаленно получить контроль над оборудованием и использовать его в качестве инструмента отслеживания.

Уязвимости удаленного ввода команд ОС влияют на четыре корпоративных продукта Lifesize для совместной работы — Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker, которые были обнаружены исследователями из охранной фирмы Trustwave.

Чтобы воспользоваться этой уязвимостью, злоумышленники должны получить доступ к микропрограммному обеспечению продуктов Lifesize, а также узнать серийный номер устройства.

Но если этого можно добиться, исследователи считают «тривиальным» получить контроль над устройством с помощью некоторых программных инструментов и информации со страницы поддержки Lifesize, которая может помочь обеспечить «черный ход» в устройстве. Устройства также связаны с учетной записью поддержки по умолчанию, которая поставляется с паролем по умолчанию — то, что многие пользователи не изменили бы, предоставляя злоумышленникам важную часть загадки компромисса.

Первоначальная уязвимость проистекает из того, что исследователи описывают как программную ошибку, которая позволяет вводить данные пользователем, не ограничиваясь дезинфекцией с использованием функций оболочки. Комбинируя это с ошибкой повышения привилегий, можно выполнять системные команды, предоставляя злоумышленникам точку опоры в сети, в которой работает продукт Lifesize.

Похожие статьи

Основные уязвимости в новом стандарте WiFi... Уязвимости Dragonblood могут позволить хакерам восстановить пароли Wi-Fi пользователя Недавно выпущенный WiFi Alliance стандарт безопасности и аутентификации Wi-Fi WPA3 потенциально может позволить хакерам проникнуть в сети пользователей, воспользовавшись новой группой уязвимостей, обнаруженных двумя исследователями безопасности. Обнаруженные исс...
Можно Ли Использовать Роутер Как Wifi Адаптер... Можно ли использовать роутер как wifi адаптер Используем роутер в качестве Wi-Fi приемника для подключения телевизора к интернету по Wi-Fi Привет! В этой статье, я пообещал поведать об одной увлекательной схеме, которую можно использовать для подключения телека к вебу по беспроводной сети. Я стремительно расскажу в чем заключается сущность этого...
Зарядное Устройство Для Аккумулятора Вымпел 55... Зарядные устройства Вымпел 15 Зарядные устройства Вымпел – это продукция российского производителя, пришедшая взамен пользующейся популярностью серии «Орион». Зарядные нового поколения учли что остается сделать нашему клиенту недочеты прошлых серий, новые тенденции и технологии, потребности автовладельцев. По причине у нас имеется заряд...
Как Уменьшить Силу Тока Зарядного Устройства... Модернизация маломощного зарядного устройства Понятно два главных варианта зарядных устройств (ЗУ), применяемых для обслуживания маломощных электрических устройств с аккумуляторным питанием. Принципная схема первого из их представлена на Рис.1. Такими устройствами оснащались наши приборы пару лет вспять, когда батареи, по сопоставлению с современны...

Объедините это повышение привилегий с уязвимостью внедрения команд, и вы сможете получить полное постоянство на устройстве.

«Благодаря этому у вас есть доступ ко всему. Любое видео или аудио, хранящиеся на этой машине, можно будет получить довольно просто», — сказал ZDNet Эд Уильямс, директор исследовательского отдела Spiderlabs компании Trustwave.

«Эту машину можно использовать в качестве панели запуска для атаки на другие машины. Скажем, это аудиооборудование имеет выход в Интернет, благодаря этой уязвимости вы можете получить доступ к базовой операционной системе. Из внешней атаки вы можете получить внутренний доступ — это худший вариант развития событий, но потенциально очень серьезный. "

Характер атаки означает, что будет трудно определить, было ли взломано какое-либо устройство, а это означает, что существует вероятность того, что эта уязвимость уже была использована в открытом доступе.

«Было бы трудно сказать, было ли получено доступ к устройству, потому что устройства такого типа не имеют очень хорошей регистрации. В результате трудно понять, что происходит, поэтому будет трудно выяснить, если это является основной причиной нападения. Злоумышленники, вероятно, будут искать и использовать это, "сказал Уильямс.

Lifesize сообщил ZDNet, что выпустит патч для уязвимых продуктов.

«Мы активно работаем над устранением этой уязвимости и автоматически исправляем все системы Icon 220, подключенные к Lifesize Cloud. Для устройств, не подключенных к облаку, пользователям потребуется установить исправление, и мы будем работать с каждым затронутым клиентом, чтобы устранить проблему. выпускать как можно быстрее », — сказал Бобби Бекманн, технический директор Lifesize.

Для защиты от атак, использующих эту уязвимость, компания Tenable призывает пользователей изменить пароли устройств по умолчанию. Также рекомендуется, чтобы пользователи знали, какие устройства находятся в их сети и были ли они в курсе

«Узнайте, что у вас работает, и можно ли использовать его в Интернете или в Интернете. Если это так, обновите встроенное программное обеспечение или отключите его от Интернета. Убедитесь, что устройства находятся в отдельной сети, так что если кто-то сможет подключиться к нему» "Это так далеко, как они могут получить", сказал Уильямс.

Trustwave опубликовал полный технический анализ уязвимости в блоге компании.

ЧИТАЙТЕ БОЛЬШЕ О КИБЕР-БЕЗОПАСНОСТИ

Похожие статьи

Xiaomi Mi MIX 4 скорее всего станет складным устро... Ожидается, что в двойном складном телефоне Xiaomi будет установлен ведущий чипсет Snapdragon 855 компании Qualcomm. Xiaomi уже выпустила два небольших видео о своем предстоящем складном телефоне. Говорят, что китайская компания развернула смартфон во втором квартале 2019 года. Теперь новая утечка говорит о том, что двойное складное устройство Xi...
Как Подключить Зарядное Устройство К Аккумулятору... Как заряжать автомобильный аккумулятор Зарядку аккумов, в том числе и авто, создают неизменным током. В качестве источника можно использовать выпрямитель переменного тока. Главное чтоб у выпрямителя имелась возможность регулировать, а еще лучше, чтоб можно было стабилизировать напряжение и ток. Зарядное устройство для заряда 12-ти вольтовой батареи...
Делаем Простое Зарядное Устройство Для Акб С Авто ... МЫ ДЕЛАЕМ ПРОСТАЯ ЗАРЯДКА УСТРОЙСТВО ДЛЯ АКБ с автоматическое выключение когда полностью заряжен Автор: Радиолюбительское ТВ Опубликовано: 2 июня 2017 г. Просмотров: 194 020 Мне понравилось: 2 353 Мне не понравилось: 210 Tricky Max: _Купить автоматическую зарядку аккумулятора: в этом выпуске вы узнаете: как сделать просто автоматическое зарядное ...
Как Сделать Зарядное Устройство Из Сварочного Аппа... Пуско-зарядное устройство своими руками. Как сделать зарядное устройство сварочного аппарата из. Схема пуско-зарядного устройства Для автомобилистов истинной неувязкой может стать севший аккумулятор. Также следует учесть, что зимой заводить машину достаточно трудно. В связи с этим нередко появляется потребность в использовании пуско-зарядного устро...

News Reporter