7 Elementos de Migração Radicalmente simples OS
Boosters de segurança nacional que acabou de tirar um chute para o ego, com revelações de que hackers podem acessar exatamente o tipo de kit de escuta eles acreditam que deveria ser implantado em todos os ISP e telco em todo o mundo.
O dia zero que transformou-se em kit de Nova Jersey roupa bonita daria atacantes acesso a gravações de voz grampeado junto com nomes e endereços de e-mail para suspeitos monitorados pela polícia.
As falhas afetam Gravação eXpress produto de gravação de voz do Nice, que tem como alvo a polícia e agências de aplicação da lei.
Prolífico falhar flaunter, SEC Consult Vulnerability Lab, silenciosamente divulgados nove falhas para Nice e veio a público depois de cinco buracos permaneceram sem correção de quase seis meses depois de ter sido relatada.
As falhas incluía um backdoor raiz e acesso remoto não autenticado gravações de voz interceptadas. Hackers também poderia invadir o servidor de gravação de voz e mover-se lateralmente para lançar novos ataques contra redes locais virtuais internos de voz.
Os bods segurança altamente recomendável polícia parar de usar a plataforma até que as falhas foram corrigidos e mais testes foi feito.
Diretor comunicadores AGRADÁVEL Erik Snider disse que os clientes foram notificados sobre as falhas e minimizou o risco de ataque.
"Temos estado a abordar as questões com base na prioridade, e pode confirmar que já resolveu quase todos eles, e esperar que as correções restantes para ser concluído em breve", disse Snider.
"Nós não acreditamos que qualquer um dos nossos clientes tem sido impactado pelos itens levantadas neste relatório, uma vez que estes sistemas são implantados em um ambiente muito seguro e não são acessíveis fora da organização."
Ele não respondeu até ao momento da publicação a pedido do El Reg para explicar como a plataforma não estava organizações externas acessíveis.
O backdoor foi uma conta de administrador oculto e codificado dentro de implantação MySQL da plataforma e, juntamente com as gravações de voz expostas foi a mais severa das vulnerabilidades publicadas.
"Por exemplo, os atacantes não autenticados são capazes de ter acesso a listas de exportação de contas de usuário que estão sendo monitorados / gravado. Atacantes ter acesso a informações detalhadas, como dados pessoais, como nome / sobrenome, endereço de e-mail e nome de usuário / extensão," pesquisadores Johannes Greil e Stefan Viehböck escreveu em uma revelação .
Vários sites cruzamento de scripting e falhas de injeção SQL também foram relatados. Os testadores de penetração disse vulnerabilidades mais críticas foram assumidas presente. ®
Nenhum comentário:
Postar um comentário