Предлагаемые на Amazon и eBay дешевые маршрутизаторы содержат бэкдоры

Исследователь безопасности Мантас Саснаускас (Mantas Sasnauskas) из Cybernews совместно с экспертами Джеймсом Кли (James Clee) и Рони Карта (Roni Carta) обнаружили подозрительные бэкдоры в недорогих маршрутизаторах от китайской компании Wavlink, обычно продаваемых на Amazon или eBay. Устройства Wavlink также содержат скрипт, который перечисляет ближайшие Wi-Fi-сети и имеет возможность подключаться к…

Больше

Уязвимость в продуктах VMware позволяет скомпрометировать систему

Компания VMware выпустила временное исправление для критической уязвимости в своих продуктах, позволяющей злоумышленникам захватить контроль над системой. Как сообщается в уведомлении безопасности, «злоумышленник с сетевым доступом к административному конфигуратору через порт 8443 и действительным паролем для учетной записи администратора конфигуратора может запускать на системе команды с безграничными привилегиями». CVE-2020-4006 представляет…

Больше

Двухфакторную аутентификацию в cPanel можно обойти

Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей. Учетные записи cPanel используются владельцами сайтов для доступа и управления настройками сайтов и серверов….

Больше

Приложения Baidu для Android собирают конфиденциальную информацию

В приложениях Baidu Maps и Baidu Search Box обнаружена проблема, связанная со сбором конфиденциальных данных. Как сообщили специалисты из американской фирмы Palo Alto Networks, приложения Baidu Maps и Baidu Search Box содержали код, собирающий информацию о пользователях. Код был обнаружен в Baidu Push SDK, который используется для отображения уведомлений в…

Больше

Уязвимости в TikTok позволяли взламывать аккаунты одним щелчком мыши

Разработчики китайского приложения TikTok исправили две уязвимости, эксплуатация которых могла позволить злоумышленникам перехватить контроль над учетными записями одним щелчком мыши. Немецкий исследователь безопасности Мухаммед Таскиран обнаружил уязвимость отраженного межсайтового выполнения сценариев (XSS) в параметре URL-адреса TikTok, отражающем его значение без надлежащей очистки. Проблема также могла привести к утечке данных во…

Больше

Новая Bluetooth-атака позволяет в считанные минуты угнать Tesla Model X

Для исправления уязвимостей и добавления новых функций в свою систему бесключевого доступа в автомобилях Tesla Model X компания Tesla использует обновления «по воздуху». Однако, по словам специалиста Левенского католического университета (Бельгия) Леннерта Ваутерса (Lennert Wouters), с помощью этого механизма доставки обновлений можно в считанные минуты угнать автомобиль. Ваутерс обнаружил как…

Больше

Сайты на базе Drupal уязвимы перед атаками двойных расширений

Разработчики CMS Drupal выпустили исправление для критической уязвимости, при помощи которой злоумышленники могли установить полный контроль над чужим сайтом. Уязвимость получила идентификатор CVE-2020-13671, крайне проста в использовании и строится на известном принципе двойных расширений. По сути, атакующий может добавить второе расширение к вредоносному файлу, загрузить файл на целевой сайт, а затем…

Больше

В сети опубликован список из 49 000 уязвимых устройств Fortinet VPN

Издание Bleeping Computer, со ссылкой на ИБ-исследователя, известного как Bank_Security, сообщает, что на хакерских форумах распространяют список однострочных эксплоитов для получения учетных данных от почти 50 000 устройств Fortinet VPN. Автор списка проблемных устройств объясняет, что все они уязвимы перед багом CVE-2018-13379, который был исправлена разработчиками Fortinet еще в 2018 году,…

Больше

Уязвимость в Android-приложение GO SMS Pro раскрывает данные, которыми обмениваются пользователи

Исследователи компании Trustwave обнаружили уязвимость в приложении GO SMS Pro, установленном более 100 000 000 раз. Из-за бага мультимедийные файлы (голосовые сообщения, видео и изображения), которыми обмениваются пользователи, оказались доступны любому желающему. С сервера приложения можно извлечь даже те файлы, которые предназначались для пользователей, на устройствах которых GO SMS Pro…

Больше

Публикация PoC-кода дает злоумышленникам фору в 47 дней

Исследователи из компании Kenna Security объединились со специалистами из Cyentia Institute и провели анализ 473 уязвимостей, обнаруженных начиная с 2019 года, эксплуатация которых была зафиксирована в реальных атаках Эксперты предупредили, что когда PoC-код для эксплуатации уязвимости публикуется в открытом доступе, злоумышленники получают 47-дневную фору для осуществления своих целей. В течение…

Больше