Контакты
Подписка 2024
МЕНЮ
Контакты
Подписка
Защита АСУ ТП. Безопасность КИИ
13 февраля. Комплексный подход к промышленной кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Регистрируйтесь и приходите на ТБ Форум 2024!

Уязвимости в продуктах Lifesize позволяют следить за пользователями

08/02/19

lifesizeУязвимости в продуктах для обеспечения конференцсвязи от компании Lifesize позволяют получить контроль над уязвимым устройством и следить за пользователями. Как сообщают специалисты Trustwave Spiderlabs, проблемы затрагивают такие продукты, как Lifesize Team, Lifesize Room, Lifesize Passport и Lifesize Networker.

Одна из обнаруженных исследователями уязвимостей позволяет удаленно внедрять команды, но для ее эксплуатации злоумышленник должен получить доступ к прошивке устройства Lifesize, а для этого ему нужно знать его серийный номер. Тем не менее, если атакующий выведает серийный номер устройства, все остальное не составит для него никакого труда. С помощью программных инструментов и информации со страницы техподдержки Lifesize он сможет с легкостью получить контроль над устройством. Дело в том, что оборудование Lifesize по умолчанию связано с учетными записями техподдержки с дефолтными паролями, которые пользователи, как правило, не меняют.

Еще одна обнаруженная Trustwave Spiderlabs уязвимость связана с программной ошибкой, позволяющей пользователям вводить данные без соответствующей очистки с использованием функций оболочки. Если проэксплуатировать эту ошибку вместе с ошибкой повышения привилегий, злоумышленник сможет запускать на устройстве системные команды и получить доступ к системе. В сочетании с уязвимостью внедрения команд повышение привилегий позволит ему обеспечить на атакуемом устройстве свое постоянное присутствие. Таким образом, у злоумышленника появится доступ ко всему хранящемуся на устройстве видео и аудио.

В настоящее время производитель работает над исправлением уязвимостей.

 

Темы:УгрозыLifesizeВидеоконференция
Доверенные отечественные ИТ-системы
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для госсектора и ключевых отраслей
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Конференция ФСТЭК
14 февраля 2024. Актуальные вопросы защиты информации
Участвуйте!

Еще темы...