סמבה יש פגיעות הגדולות ביותר, CVE-2,021-44,142, כי היה תוקנו רק במהדורות החדשות 4.13.17, 4.14.12, וכן 4.15.5. נמצא על ידי חוקרים TrendMicro, מעריכה באג RCE מאומתת זה בכל CVSS 9.9. החסד הוא שזה צריך מודול הפרות VFS להיות מופעל, אשר מנוצל כדי לתמוך לקוח MacOS כמו גם Interop בשרת. אם מאופשר, את הגדרות ברירת המחדל פגיעות. התקפות לא נצפו בטבע עדיין, אולם קדימה כמו גם להתעדכן, כקוד PoC שתחול ירידה בקרוב.
האנוסים דאון חור התולעת
אחת נק’ מכירה ראויה לציון כדי cryptocurrencies וכן Web3 הם חוזים חכמים, תוכנות מחשב קצת לרוץ ישירות על blockchain שכספי רילוקיישן הפח מסביב מאוד מהר, בלי התערבות. זה הסתיים במהירות להיות ברור כי החסרון הנועץ הוא אלה הם תוכניות מחשב כסף רילוקיישן הפח מסביב מאוד מהר, בלי התערבות. השבוע היה עוד דוגמה אחת של חוזים חכמים בעבודה, כאשר תוקף גנב שווה 326 מיליון $ של Ethereum דרך גשר חור התולעת. גשר מטבע מבוזר הוא שירות שקיים כחוזים חכמים המקושרים על שני blockchains שונה. חוזים אלה מאפשרים לך לשים מטבע בצד אחד, כמו גם להוציא אותו על אחרים, מטבע ההעברה ביעילות על blockchain שונה. אשר מסייע לנו להבין מה השתבש הוא [קלווין Fichter], כמו כן הבין כראוי כמו [smartcontracts].
כאשר הגשר מבצע את העברה, אסימונים מופקדים החוזה החכם על אחד blockchain, כמו גם הודעת העברת מופק. הודעה זו היא כמו בדיקת חשבון כעת לבדוק דיגיטלית, שבו אתה לוקח את הצד השני של הגשר כדי במזומן. בקצה השני של מאמתת גשר חתימה על “המחאה”, וכן אם מה גפרורים, הקרנות שלך להופיע. הבעיה היא כי צד אדם אחד של הגשר, שגר האימות עלול להיות מוחלף על ידי שגרת דמה, על ידי משתמש הקצה, כמו גם את הקוד לא לתפוס אותו.
זהו חם לבדוק הונאה. התוקף מיוצר הודעת העברה מזויפת, הציע שגרת אימות מזויפת, כמו גם את הגשר קבל את אמיתותו. רוב הכסף הועבר חזרה לגשר, שם אסימונים התקפים של משתמשים אחרים הוחזקו, כמו גם את התוקף והלך עם 90,000 מאותם אסימוני ETH.
9.8 CVE That Was לא
התמודדות עם דוחות בטיחות וביטחון יכולה להיות מאתגרת. לדוגמה, אנגלית היא לא השפה הראשונה של כולם, ולכן כאשר דוא”ל זמין עם איות כמו גם טעויות דקדוק, זה יהיה פשוט לדחות אותה, אולם במקרים מסוימים מיילים אלה באמת הם לידע אותך על בעיה רצינית. כמו גם אז בחלק מהמקרים אתה מקבל דו”ח מאז מישהו מצאה DevTools של Chrome בפעם הראשונה, כמו גם אינו מכיר בכך שינויים אזוריים אינם שימשו כולם.
CVE-2022-0329 היה אחד מאותם. צרור הדאגה הוא ספריית Python, loguru, המתהדר “פיתון רישום עשה (בטיפשות) פשוט”. CVE מרכז ספרייה בכניסה? בקיצור את האינטרנט אימץ באופן קולקטיבי בעיה בסגנון log4j אחד יותר. אז הרבה יותר אנשים התחילו לקחת מבט בדו”ח הפגיע כמו גם דיווח על באג, כמו גם ליהוק שאלה על תוקפו של הנושא. עד כדי כך, כי CVE בוטל. בדיוק איך א-באג שאיננו מקבל מדורגי נושא בטיחות וביטחון כה גבוה, כי GitHub אף שולחים מודיעים אוטומטיים על זה?
הפגיעות התיאורטיות הייתה בעית deserialization, שם הספרייה החמוצה, כלול כתלות של loguru, לא deserialize נתונים מהימנים בבטחה. זה בעיה חוקית, אולם הדו”ח לא הצליח להדגים כיצד בדיוק loguru תאפשר נתונים לא אמינים כדי להיות deserialized בצורה מסוכנת.
יש רעיון בבית לשחק כאן, “כַּוָה אטום”. בכול סוג של בסיס קוד או מערכת, תהיה נקודה שבה נתונים תוכנית מניפולציה יכולים לגרום לביצוע קוד. זהו מאחורי בפיר-הכווה אטום בעת ביצוע שצורכי תקיפה כבר שיש לנהל על תוכנית. במקרה זה, אם אתה יכול לפתח את הפריט חמוץ יהיה deserialize, כבר יש לך ביצוע קוד שרירותי. זה לא להצהיר שזה לא מתאים לתקן כזה מופע, עם זאת, כי התקשות הקוד של, לא תיקון פגיע.
זה המקום שבו זה ירד מהפסים. [Delgan], המעצב מאחורי loguru שוכנע זה לא היה הפגיעות נכון, אולם הוא רצה לעשות קצת קוד התקשות סביב הרעיון, כך סימנה את הדו”ח פגיעות המקורי כפי שהיה מקובל. זה להגדיר את המכונות האוטומטיות בתנועה, כמו גם CVE הוצאה. CVE זה נקבע ליום רציני מאוד, מבוסס על מבין ללב נאיבי של הנושא, אולי גם פעולה אוטומטית. טירוף אוטומטי זה נמשך כול שיטת אזהרת Github, לפני שמישהו ולבסוף התערב כמו גם לחתוך את הכח אלי מחוץ מלא automaton.
חלונות EOP POC.
בחודש ינואר, מיקרוסופט תוקנה CVE-2022-21882, הסלמה של פריבילגיה בקוד Win32 של Windows. אל תיתן לך טריק לך, הוא נוכח ב 64 סיביות גירסאות של Windows, מדי. אם אתה מאחורי העדכונים שלך, ייתכן שתרצה לקבל עסוק, כמו הוכחה של מושג יש עכשיו ירד באג זה. זה כבר דיווח כמו עקיפה תיקון, מה שהופך את זה בעצם את אותה בעיה בסיסית כמו CVE-2021-1732.
QNAP נדרש דחף עדכון
ויחידים מתקתקים
Qnap, כמו גם אחרים NAS המפיקים נדרשו להגביר את הבטיחות שלהם ואת המשחק אבטחה, כמו אלה גאדג ‘טים בסגנון בסופו של דבר להיות עדיין אחד יותר מושך יעד עבור גנבים ransomware. לכן, כאשר qnap מצאה פגם אשר ניצל בקמפיין תוכנות זדוניות “Deadbolt”, הם בחרו לעשות כוח לדחוף את העדכון לכל אדם שהיה מאופשר אוטומטי. משמעות הדבר היא כי כאשר עדכונים היו בדרך כלל להתקין, כמו גם הסכמת בקשה לאתחל, זה מחדש את פניית מחדש, אולי להפעיל את אובדן הנתונים במקרה הגרוע ביותר.
Qnap סיפקה את מחשבותיהם בחוט Reddit בנושא, כמו גם יש קצת מחלוקת לגבי כמה בדיוק זה עובד. לפחות אדם אחד הוא נחרץ למדי כי פונקציה זו הושבת, כמו גם את העדכון עדיין מותקן אוטומטי. מה קורה?
יש תשובה רשמית. בעדכון מוקדם יותר, נוספה פונקציה חדשה, את הגירסה המוצעת. זה משמש עדכון אוטומטי, עם זאת רק כאשר יש בעיה גדולה. זוהי ההגדרה המאפשרת דחיפות נדרשות, וכן ברירת המחדל של ברירת המחדל. (בהגינות, הוא היה בערות התיקון). טיפול בעדכונים על מכשירי חשמל כאלה תמיד קשה, כמו גם את הסיכון המתנשא של ransomware עושה את זה אפילו מדבקה.
אז מה אתה חושב, היה Qnap רק מטפל בלקוחות? או שהיה זה דומה להודעת הנזק של ביתו של ארתור דנט, שפורסם במרתף בתחתית ארון תיוק נעול תקוע בשירותים שנחויים עם אינדיקציה על הדלת המציינת “היזהר לנמר”. תן לנו להבין את ההערות, או אם מחלוקת היא הדבר שלך, הערוץ החדש המוקדש לעמודה!