Zaiflik minglab eski Lenovo xotira qurilmalariga kirish imkonini berdi
Aniqlangan zaiflik tajovuzkorlarga millionlab fayllarni o’z ichiga olgan tarmoq xotira qurilmalariga masofadan kirish imkonini berdi.
Vertical Structure va WhiteHat Security kiberxavfsizlik firmalari minglab Lenovo tarmogʻiga biriktirilgan saqlash qurilmalarida (NAS) jiddiy zaiflik borligini maʼlum qildi, agar ulardan foydalanilsa, tajovuzkorlarga millionlab fayllarga masofadan kirish imkonini beradi. Zaiflik to’xtatilgan Iomega/LenovoEMC NAS qurilmalariga ta’sir qiladi. Shodan qidiruvi 3 milliondan ortiq faylni saqlaydigan 5114 ta qurilmani aniqladi. Bularga taxminan 20 000 ta hujjat, 13 000 ta elektron jadvallar, 13 000 ta matnli fayllar va 405 000 ta rasm kiradi. Ba’zi fayllarda maxfiy ma’lumotlar, jumladan, to’lov kartalari raqamlari va moliyaviy yozuvlar mavjud edi.
Vertical Structure direktori Saymon Uittakerning so’zlariga ko’ra, zaif qurilmalarning haqiqiy soni ko’proq, chunki 5114 ta qurilma faqat indekslangan qurilmalardir.
Zaiflik API avtorizatsiya mexanizmining yo‘qligi va fayllarni masofadan turib ko‘rish va olish imkoniyatidan kelib chiqadi. Whittaker zaiflikni millionlab himoyalanmagan Amazon S3 chelaklari bilan taqqosladi.
Zaiflikdan autentifikatsiya qilinmagan tajovuzkor tomonidan API orqali maxsus tayyorlangan so‘rov yuborish orqali tarmoq xotira qurilmalaridagi fayllarga kirish uchun foydalanish mumkin. Buzg’unchi tarmoqni zaif drayvlar uchun skanerlashi va maqsadli qurilmaning IP-manziliga zararli so’rov yuborishi mumkin. Uittakerning so‘zlariga ko‘ra, hujumchi hujumni avtomatlashtiradigan va barcha zaif qurilmalardan ma’lumotlarni ajratib oladigan skriptni ham yaratishi mumkin.
Kompaniyalar o‘z xulosalari haqida Lenovo’ga xabar berishdi, u CVE-2019-6160 zaiflik identifikatsiya raqamini berdi va uni tuzatdi.
