Shimo VPN ilovasida xavfli zaifliklar aniqlandi.
Hozirda xatolar tuzatilmagan.
Mac uchun mashhur Shimo Helper Tool VPN ilovasida xavfli zaifliklar, jumladan, imtiyozlarni rootga oshirishga imkon beruvchi zaifliklar aniqlandi. Cisco Talos tadqiqot guruhi tadqiqotchilari oltita muammoni tasvirlab berishdi. Xususan, CVE-2018-4005, CVE-2018-4006 va CVE-2018-4009 zaifliklari imtiyozlarni rootga oshirishga imkon beradi. Birinchi ikkitasi configureRoutingWithCommand va writeConfig funktsiyalari bilan bog’liq, ikkinchisi esa kod imzosini noto’g’ri tekshirish tufayli mavjud.
Imtiyozlarni oshirishning yana bir zaifligi (CVE-2018-4004) «root bo’lmagan foydalanuvchiga tizimdagi imtiyozli jarayonni tugatish imkonini beradi.» Shuningdek, tajovuzkorga tizimdagi har qanday himoyalangan faylni o’chirishga imkon beradigan yana bir muammo (CVE-2018-4007) aniqlandi. Va nihoyat, RunVpncScript buyrug’i bilan bog’liq CVE-2018-4008 zaifligi foydalanuvchi tomonidan belgilangan skriptni root foydalanuvchisi kontekstida bajarishga imkon beradi.
Yuqoridagi barcha muammolar Shimo VPN 4.1.5.1 versiyasiga ta’sir qiladi va ulardan foydalanish uchun mahalliy kirishni talab qiladi. Jamoa zaifliklar bo’yicha Shimo bilan bog’lanishga bir necha bor urinib ko’rdi, ammo natija bermadi. Xatolar hozircha tuzatilmagan.
