Miliony děravých routerů a chyba je aktivně zneužívána a navíc je přítomna už dobrých deset let. Více v Actively exploited bug bypasses authentication on millions of routers a Freshly disclosed vulnerability CVE-2021-20090 exploited in the wild. Hodit se může i Multiple Vulnerabilities in Buffalo and Arcadyan manufactured routers
Zranitelnosti v miliardách Wi-Fi zařízení umožňují vsouvat a manipulovat data do Wi-Fi komunikace. Včetně té chráněné WAP. Viz Vulnerabilities in billions of Wi-Fi devices let hackers bypass firewalls a FragAttack Security Flaw
Čtyři zranitelnosti, včetně 0day, Androidu umožňují kompletně ovládnout telefon. Google má opravy, ale kdy a jak se dostanou k výrobcům různorodých zařízení je tradičně nejisté. Via 4 vulnerabilities under attack give hackers full control of Android devices a Android Security Bulletin—May 2021
Něco co zní jako dost špatný vtip. QNAP odstranil účet pro zadní vrátka v HBS3 Hybrid Backup Sync. A co navíc, společnost potvrdila, že ransomware Qlocker používal právě tato zadní vrátka pro napadání zařízení. Předmětný účet umožňoval přihlásit se do zařízení s pomocí nezměnitelných přihlašovacích údajů. Nezapomeňte aktualizovat, ať nejste zranitelní. Podrobnosti v QNAP removes…
Chyba v TCP/IP ovlivňuje miliony chytrých i průmyslových zařízení. NAME:WRECK se týká toho jak zařízení pracují s DNS (doménovými jmény) a v problémech jsou TCP/IP řešení od několika výrobců. Pouze někteří z nich chybu opravili. Detaily v NAME:WRECK vulnerabilities impact millions of smart and industrial devices a NAME:WRECK
Microsoft Teams i Zoom hacknuty v rámci PWN2Own soutěžení. V obou případech hackeři získali za odměnu nemalé částky a ukázali, že Teams i Zoom je možné využití k cíleném ovládnutí uživatelova počítače. V Zoomu zcela bez zapojení uživatele. V Teams rovněž bylo možné spustit kód a chyby byly objeveny i v dalších produktech Microsoftu. Via…
Ve Velké Británii je stále na 3 tisíce Exchange serverů nezabezpečených proti aktuálnímu útoku ( z celkového počtu 7 500). Napadení bylo zjištěno u 2 300 z nich. Dostatečná ukázka toho jaký rozměr má měsíce stará bezpečnostní chyba v Microsoft Exchange Serveru na kterou je oprava dostupná něco přes týden. Chyba, která je zneužívána útočníky…
Děravý Exchange měl být podle všeho znám už 5. ledna a Microsoft s opravu přišel prakticky až po dvou měsících. Co navíc, podle časové osy v A Basic Timeline of the Exchange Mass-Hack byl tento 0day zneužíván už od samého počátku, jen na konci února došlo k masovému využívání automatickým hledáním napadnutelných systémů.
Příběh hacknutí webových stránek pro právníky Facebooku v How I hacked Facebook: Part One je typickou ukázkou toho, jak firmy nechávají informační systémy děravé a přístupné z Internetu. Vlastně nejde o žádný zásadně složitý způsob jak se někam dostat. Jak název napovídá, autor bude mít ještě další pokračování. Podařilo se mu totiž najít ještě další…
Valve opravilo chybu ve Steamu. Dala se využít pro ovládnutí počítače. Nacházela se v síťovém pluginu, který je ale ještě stále součástí některých her. Detaily v Game On – Finding vulnerabilities in Valve’s “Steam Sockets”