Уязвимости в продуктах Lifesize позволяют следить за пользователями

Уязвимости в продуктах для обеспечения конференцсвязи от компании Lifesize позволяют получить контроль над уязвимым устройством и следить за пользователями. Как сообщают специалисты Trustwave Spiderlabs, проблемы затрагивают такие продукты, как Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker.

Одна из обнаруженных исследователями уязвимостей позволяет удаленно внедрять команды, но для ее эксплуатации злоумышленник должен получить доступ к прошивке устройства Lifesize, а для этого ему нужно знать его серийный номер. Тем не менее, если атакующий выведает серийный номер устройства, все остальное не составит для него никакого труда. С помощью программных инструментов и информации со страницы техподдержки Lifesize он сможет с легкостью получить контроль над устройством. Дело в том, что оборудование Lifesize по умолчанию связано с учетными записями техподдержки с дефолтными паролями, которые пользователи, как правило, не меняют.

Еще одна обнаруженная Trustwave Spiderlabs уязвимость связана с программной ошибкой, позволяющей пользователям вводить данные без соответствующей очистки с использованием функций оболочки. Если проэксплуатировать эту ошибку вместе с ошибкой повышения привилегий, злоумышленник сможет запускать на устройстве системные команды и получить доступ к системе. В сочетании с уязвимостью внедрения команд повышение привилегий позволит ему обеспечить на атакуемом устройстве свое постоянное присутствие. Таким образом, у злоумышленника появится доступ ко всему хранящемуся на устройстве видео и аудио.

В настоящее время производитель работает над исправлением уязвимостей.