Специалисты австрийской компании SEC Consult рассказали о странной истории, связанной с известным производителем Ubiquiti Networks, который разрабатывает различные аппаратные и софтверные решения для провайдеров и предприятий.
Еще в ноябре 2016 года исследователи обнаружили серьезную проблему в устройствах Ubiquiti, которая позволяет атакующему полностью перехватить контроль над девайсом. Специалисты сообщили об уязвимости производителю, воспользовавшись официальной bug bounty программой на HackerOne, но разработчики Ubiquiti повел себя весьма странно. Вначале представители компании заявили, что уже знают о баге и отказались принимать заявку исследователей. Затем заявка все же была принята, а проблема признана, но патча для уязвимости до сих пор нет, потому что связь с сотрудниками Ubiquiti оборвалась еще в январе 2017 года. В настоящий момент специалисты SEC Consult уже окончательно отчаялись вновь установить контакт с Ubiquiti и решили публично раскрыть информацию о проблеме,
Исследователи пишут, что файл pingtest_action.cgi на ряде устройств Ubiquiti содержит уязвимость типа command injection. Баг возник в силу того, что разработчики использовали для создания встроенного сервера устройств невероятно старую версию PHP – это PHP 2.0.1, вышедшая в 1997 году, то есть двадцать лет назад! Но есть две новости: хорошая и плохая. Хорошая: к счастью, проблему command injection может эксплуатировать только авторизованный пользователь. Плохая: данная уязвимость не является единственной. Также прошивка устройств Ubiquiti уязвима перед CSRF-атаками, что позволяет фальсифицировать действия пользователя.
Устроить CSRF-атаку на уязвимое устройство совсем несложно. Исследователи пишут, атака может быть реализована посредством одного GET-запроса, и для этого достаточно заманить жертву на вредоносный сайт. Так как защиты от CSRF у девайсов Ubiquiti нет, злоумышленник сможет обратиться к админке устройства и выполнить произвольные действия, за спиной легитимного пользователя.
Демонстрацию атаки исследователи записали на видео, однако proof-of-concept эксплоит пока не был опубликован. Исследователи все-таки решили дождаться выхода патча, надеясь, что огласка привлечет внимание к проблеме.
Эксперты SEC Consult опробовали атаку против четырех девайсов Ubiquiti и пришли к выводу, что такая же проблема существует еще как минимум у 38 моделей устройств. Список можно увидеть ниже.
Вышедшее на этой неделе обновление 2024.4 для Foxit PDF Reader / Editor (Windows и macOS) устраняет около десятка уязвимостей. Некоторые из них грозят удаленным выполнением вредоносного кода в системе.
На настоящий момент CVE-идентификаторы и оценку по CVSS получили лишь две схожие проблемы Use-After-Free (по 8,8 балла). Остальные пока не внесены в базу NIST NVD, информация о них доступна лишь на сайте техподдержки Foxit Software.
Список закрытых уязвимостей:
ненадежный вызов URL при обработке XFA-форм; эксплойт можно провести с помощью документа PDF со встроенным вредоносным кодом или изображением и получить доступ к ресурсам, а также возможность выполнять различные действия от имени жертвы;
возможность раскрытия данных XFA и NTLM при выполнении функций app.openDoc и LaunchAction;
нарушение целостности памяти при обработке AcroForms, объектов флажка и 3D-объектов (CVE-2024-49576 и CVE-2024-47810); сбой приложения позволяет выполнить в системе сторонний код, ошибку можно вызвать, прислав пользователю специально созданный документ PDF со встроенным Javascript или заманив его на вредоносный сайт;
возможность подмены edputil.dll;
возможность выполнения произвольного кода с привилегиями SYSTEM из-за неадекватной проверки обновлений и плагинов при их установке.
Уязвимостям подвержены все прежние выпуски Foxit PDF Reader 2024, а также Editor версий 2024, 2023, 13, 12 и 11. Обновления с патчами вышли для обеих платформ и во всех затронутых ветках продуктов.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
