• /home
  • /inet
  • /infosec
  • /investigations
  • /pentesting
  • /rapidalert
  • /tweaks
  • /απόψεις
  • /tv
  • /home
  • /inet
  • /infosec
  • /investigations
  • /pentesting
  • /rapidalert
  • /tweaks
  • /απόψεις
  • /tv
Home / /infosec / Δημοφιλή συστήματα διαχείρισης δικτύων ευάλωτα σε SQLi & XSS επιθέσεις

Δημοφιλή συστήματα διαχείρισης δικτύων ευάλωτα σε SQLi & XSS επιθέσεις

Nat BotPak /infosec 17 December, 2015 9:23 am

XSS flaw

Τέσσερις ευπάθειες cross-site scripting (XSS) και δύο ευπάθειες SQL injection (SQLi) εντοπίστηκαν στα προϊόντα τεσσάρων πωλητών συστημάτων διαχείρισης δικτύων (ΝΜSs).

Τα Συστήματα Διαχείρισης Δικτύου είναι εφαρμογές λογισμικού που χρησιμοποιούνται συνήθως από τους διαχειριστές συστημάτων ή δικτύων (SysAdmins) με σκοπό την αναζήτηση, συγκέντρωση και διαχείριση πληροφοριών σχετικά με τις συσκευές και τα λοιπά μέρη που συνδέονται με ένα συγκεκριμένο δίκτυο.

Τα NMSs χειρίζονται τα δεδομένα που συλλέγονται μέσω του πρωτοκόλου SNMP (Simple Network Management Protocol) και μεταδίδουν την πληροφορία μέσω φιλικών προς το χρήστη περιβάλλοντων εργασίας.

Σύμφωνα με τον ανεξάρτητο ερευνητή ασφαλείας Matthew Kienow και τον ερευνητή της Rapid7, Deral Heiland, τέσσερα δημοφιλή συστήματα NMS είναι ευάλωτα σε επιθέσεις από κακόβουλους παράγοντες, που μπορούν να αποκτήσουν πρόσβαση σε εφαρμογές και να τις χρησιμοποιήσουν για τη διεξαγωγή περαιτέρω επιθέσεων.

Δεδομένου ότι τα NMSs περιλαμβάνονται στη λίστα επιτρεπόμενων εφαρμογών των περισσότερων προϊόντων ασφάλειας, οι επιτιθέμενοι που καταφέρνουν να θέσουν σε κίνδυνο τα συστήματα αυτά έχουν υψηλότερη πιθανότητα διεξαγωγής επιτυχημένων επιθέσεων στο εσωτερικό δίκτυο μιας εταιρείας, από ό, τι αν προέρχονται από μια εξωτερική πηγή.

 

Τέσσερις ευπάθειες XSS και δύο ευπάθειες SQLi πλήττουν τα NMSs

Οι πληγέντες πωλητές λογισμικού είναι οι Spiceworks (XSS), Opsview (XSS), Ipswitch (XSS + SQLi), και Castle Rock Computing (XSS + SQLi). Εξαιρουμένης της Castle Rock Computing, όλοι οι υπόλοιποι προμηθευτές λογισμικού ασφάλειας έχουν αναπτύξει patches για τα επηρεαζόμενα προϊόντα.

Σύμφωνα με τους ερευνητές, οι αδυναμίες XSS που εντοπίστηκαν μπορούν να επιτρέψουν δυνητικά την υποκλοπή πληροφοριών σχετικά με τις συνεδρίες (sessions) των χρηστών, ενώ τα σφάλματα SQL injection επιτρέπουν στους επιτιθέμενους να αποκτήσουν πρόσβαση στην υποκείμενη βάση δεδομένων. Εάν κάτι τέτοιο επιτευχθεί, η υποκλοπή πληροφοριών για τις διασυνδεδεμένες συσκευές είναι πολύ ευκολότερη και ταχύτερη, και ανάλογα με την έκδοση της βάσης δεδομένων και το πώς αυτή έχει συσταθεί, οι επιτιθέμενοι μπορούν επίσης να αποκτήσουν αυξημένα προνόμια πάνω στον διακομιστή.

Δημοφιλή συστήματα διαχείρισης δικτύων ευάλωτα σε SQLi & XSS επιθέσεις was last modified: December 17, 2015, 2:29 am by Nat BotPak
Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on 17/12/2015 02:29 by Nat BotPak
8
SHARES
FacebookTwitterSubscribeGoogle
PinterestLinkedinRedditMail

SecNews Subscribe to our mailing list

* indicates required
Email Format

View previous campaigns.

Γνωστοποίηση: Το SecNews.gr χρησιμοποιεί cookies. Με κλικ σε οποιοδήποτε σύνδεσμο, αποδέχεστε τη χρήση τους. Διαβάστε περισσότερα
Nat BotPak

About Nat BotPak

LIFE IS TOO SHORT to remove usb safely

Comment Policy:

Tο SecNews.gr δεν δημοσιεύει άμεσα τα σχόλια. Κακόβουλα σχόλια, σχόλια που συμπεριλαμβάνουν διαφημίσεις, ή ύβρεις διαγράφονται άμεσα χωρίς καμία προειδοποίηση.

Δεν υιοθετούμε τις απόψεις που εκφράζουν οι αναγνώστες μας.

Αφήστε το σχόλιό σας Cancel reply

Your email address will not be published. Required fields are marked *

 

  • A A A

Archive

Moto E5: Η Motorola ανακοίνωσε τα νέα low-end smartphones

Windows 10 “April Update”: Μια ανάσα μακριά η επίσημη κυκλοφορία τους

IOTransfer 2: Οι Νικητές του Διαγωνισμού

To 86% των χρηστών δεν ασχολείται με την ασφάλεια του router

Η Amazon είναι η εταιρεία με τον πιο θετικό αντίκτυπο στην κοινωνία!

Το ταχύτερο chip στον κόσμο κάνει 10 τρισεκατομμύρια υπολογισμούς/sec

Η Microsoft βελτιώνει το Linux Subsystem Security

Διαρροή ευαίσθητων πληροφορίων στο Linkedin εξαιτίας ευπάθειας

Επίσημη παρουσίαση του Apple iPhone SE 2 τον Μάιο

Το «Facebook Login» παραβιάζεται με σκοπό τη κλοπή δεδομένων

Πώς μπορείτε να κάνετε το Torrent σας 300% ταχύτερο;

Αποσύρεται το iPhone X λόγω χαμηλών πωλήσεων;

Είναι το Google «Chat» για Android μια εναλλακτική λύση του iMessage;

Tim Cook: «Δεν θα συγχωνεύσουμε το iOS με τα macOS»

Moto G6: Η Motorola ανακοίνωσε τη νέα σειρά smartphones


SecNews Facebook Chat Widget



/contact

  • SecNews In Depth IT Security News
  • IT Security News Media
  • Athens, 11528
    GR
  • Tel.: +302111984444
  • E-mail: info[at]secnews[dot]gr

/info

  • /about
  • /contact
  • /rss
  • /SecNewsTV
  • /tos

/infosec

  • To 86% των χρηστών δεν ασχολείται με την ασφάλεια του router
  • Διαρροή ευαίσθητων πληροφορίων στο Linkedin εξαιτίας ευπάθειας
  • Το «Facebook Login» παραβιάζεται με σκοπό τη κλοπή δεδομένων
  • Το 80% των χρηστών που μολύνθηκαν από ransomware θα ξαναπλήρωναν

Copyright © 2018 · Custom Speedy Theme Cooked With ♥ by WPress.gr