Контакты
Подписка 2024
Защищенный Linux
13 июня. Кибербезопасность предприятия и защита инфраструктуры и приложений от современных угроз
Регистрируйтесь на онлайн-конференцию!

Уязвимости в продуктах Lifesize позволяют следить за пользователями

08/02/19

lifesizeУязвимости в продуктах для обеспечения конференцсвязи от компании Lifesize позволяют получить контроль над уязвимым устройством и следить за пользователями. Как сообщают специалисты Trustwave Spiderlabs, проблемы затрагивают такие продукты, как Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker.

Одна из обнаруженных исследователями уязвимостей позволяет удаленно внедрять команды, но для ее эксплуатации злоумышленник должен получить доступ к прошивке устройства Lifesize, а для этого ему нужно знать его серийный номер. Тем не менее, если атакующий выведает серийный номер устройства, все остальное не составит для него никакого труда. С помощью программных инструментов и информации со страницы техподдержки Lifesize он сможет с легкостью получить контроль над устройством. Дело в том, что оборудование Lifesize по умолчанию связано с учетными записями техподдержки с дефолтными паролями, которые пользователи, как правило, не меняют.

Еще одна обнаруженная Trustwave Spiderlabs уязвимость связана с программной ошибкой, позволяющей пользователям вводить данные без соответствующей очистки с использованием функций оболочки. Если проэксплуатировать эту ошибку вместе с ошибкой повышения привилегий, злоумышленник сможет запускать на устройстве системные команды и получить доступ к системе. В сочетании с уязвимостью внедрения команд повышение привилегий позволит ему обеспечить на атакуемом устройстве свое постоянное присутствие. Таким образом, у злоумышленника появится доступ ко всему хранящемуся на устройстве видео и аудио.

В настоящее время производитель работает над исправлением уязвимостей.

 

Темы:УгрозыLifesizeВидеоконференция
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...