Citrix устранила уязвимость в системе управления корпоративной мобильностью XenMobile, обнаруженную Positive Technologies
Эксперт Positive Technologies Андрей Медов обнаружил уязвимость в системе управления корпоративными мобильными устройствами Citrix XenMobile . При переходе по специально сформированному адресу злоумышленник мог читать произвольные файлы, находящиеся за пределами корневой директории веб-сервера, в том числе файлы конфигурации и ключи шифрования конфиденциальных данных. Для эксплуатации уязвимости не требуется авторизация. Уязвимость с идентификатором CVE-2020-8209 была выявлена в компоненте Citrix XenMobile Server. Она относится к классу Path Traversal (выход за пределы каталога) и связана с недостаточной проверкой входных данных. «Эксплуатация данной уязвимости позволяет получить информацию, которая может быть полезна при преодолении периметра, так как в конфигурационном файле зачастую хранится доменная учетная запись для подключения к LDAP [1] — рассказывает эксперт Positive Technologies Андрей Медов. — Удаленный злоумышленник может использовать полученные данные для аутентификации на других внешних ресурсах компании: в корпоративной почте, VPN, веб-приложениях. Кроме того, прочитав конфигурационный файл, атакующий может получить доступ к важным данным, например к паролю от базы данных (по умолчанию — от локальной PostgreSQL, в некоторых случаях — от удаленной SQL Server). Однако, учитывая, что база данных находится внутри корпоративного периметра и снаружи к ней не подключиться, этот вектор может быть использован разве что в сложных атаках, например при помощи сообщника внутри компании». Уязвимости подвержены Citrix XenMobile с версии 10.8 по 10.12. Компания Citrix выпустила новую версию продукта, в которой данная ошибка исправлена, и рекомендует установить ее как можно скорее. [1] LDAP-серверы используются в основном для централизованного хранения учетных записей.
- 22 Авг, 07:05
Таиланд запустит систему на блокчейне для хранения судебных документов
Управление судов Таиланда сообщило о разработке платформы на базе блокчейна для хранения судебных документов. Система будет запущена в 2021 году. Управление судов Таиланда, которому подчиняются 91% тайских судов, сообщило, что «активно разрабатывает»...
- 21 Авг, 08:04
OXT Research: в функции CoinJoin кошелька Wasabi Wallet обнаружены уязвимости
Компания OXT Research, стоящая за разработкой кошелька Биткоина Samourai Wallet, опубликовала отчет о двух уязвимостях, обнаруженных в функции CoinJoin конкурирующего кошелька Wasabi Wallet. Разработчики Samourai Wallet сообщили, что ранее уже находи...
- 12 Авг, 06:14
Microsoft устранила 2 0Day-уязвимости в Windows и IE
Компания Microsoft выпустила плановый пакет обновлений безопасности, устраняющих в общей сложности 120 уязвимостей в 13 продуктах, в том числе две уязвимости нулевого дня в ОС Windows и браузере Internet Explorer 11. Первая уязвимость ( CVE-2020-1464...
- 5 Авг, 18:38
В криптокошельке Ledger обнаружена критическая уязвимость
«Было обнаружено, что для биткойна и форков биткойна устройство предоставляет функции при работе с любым активом. Другими словами, разблокировав приложение для Litecoin, вы получите запрос на подтверждение перевода биткойна, в то время как интерфейс ...
- 5 Авг, 16:28
В кошельке Ledger обнаружена уязвимость, приводящая к списанию BTC вместо альткоинов
Разработчик Liquality Мохаммед Нохбех (Mohammed Nokhbeh) обнаружил уязвимость в аппаратном кошельке Ledger, которая приводит к списанию биткоинов вместо альткоинов. Разработчики представили отчет, в котором рассказали, как действует атака. Злоумышлен...
Cегодня
В мире за неделю
-
6 Июн, 05:20+4 Разработчики Ethereum закрыли Linea — можно ли доверять сетям уровня 2?
-
6 Июн, 05:07+4 Bitwise: Цифровые валюты привлекут триллионы долларов
-
6 Июн, 02:30+5 ФБР предупреждает о мошенничествах с криптовалютой на фальшивых работах из дома
-
4 Июн, 07:58+4 Бизнесменам на заметку: майнинг может стать новым видом экономической деятельности
-
2 Июн, 13:40+7 Британский банк Kroo решил запретить своим клиентам совершать транзакции с криптовалютой
-
27 Май, 16:30+4 Почему Ethereum (ETH) будет расти
-
24 Май, 13:50+5 Материал Центробанк не видит массового инвестирования в криптовалюты, портал ПЛАС