05:41

Citrix устранила уязвимость в системе управления корпоративной мобильностью XenMobile, обнаруженную Positive Technologies

Эксперт Positive Technologies Андрей Медов обнаружил уязвимость в системе управления корпоративными мобильными устройствами Citrix XenMobile . При переходе по специально сформированному адресу злоумышленник мог читать произвольные файлы, находящиеся за пределами корневой директории веб-сервера, в том числе файлы конфигурации и ключи шифрования конфиденциальных данных. Для эксплуатации уязвимости не требуется авторизация. Уязвимость с идентификатором CVE-2020-8209 была выявлена в компоненте Citrix XenMobile Server. Она относится к классу Path Traversal (выход за пределы каталога) и связана с недостаточной проверкой входных данных. «Эксплуатация данной уязвимости позволяет получить информацию, которая может быть полезна при преодолении периметра, так как в конфигурационном файле зачастую хранится доменная учетная запись для подключения к LDAP [1] — рассказывает эксперт Positive Technologies Андрей Медов. — Удаленный злоумышленник может использовать полученные данные для аутентификации на других внешних ресурсах компании: в корпоративной почте, VPN, веб-приложениях. Кроме того, прочитав конфигурационный файл, атакующий может получить доступ к важным данным, например к паролю от базы данных (по умолчанию — от локальной PostgreSQL, в некоторых случаях — от удаленной SQL Server). Однако, учитывая, что база данных находится внутри корпоративного периметра и снаружи к ней не подключиться, этот вектор может быть использован разве что в сложных атаках, например при помощи сообщника внутри компании». Уязвимости подвержены Citrix XenMobile с версии 10.8 по 10.12. Компания Citrix выпустила новую версию продукта, в которой данная ошибка исправлена, и рекомендует установить ее как можно скорее. [1] LDAP-серверы используются в основном для централизованного хранения учетных записей.

• 14:59 Криптовалюта стала основним джерелом доходу Telegram
• 13:29 Orange разработает пользовательские ИИ-модели для Африки
• 12:52 Антон Силуанов: ЦФА смогут заменить платежи в валютах и криптовалютах
• 12:45 Sui добавит стейкинг биткоина через партнерство с Babylon Labs и Lombard Protocol
• 12:13 РФ узаконила налоги на биткоин-операции 
• 11:59 Binance запустит маржинальный актив BFUSD с пассивным доходом
• 11:39 Платформа мемкоинов Pump.fun на базе Solana отключает функцию прямых трансляций на неопределенный срок
• 10:56 С Binance пропадет сразу 5 альткоинов

И еще 13