Bitdedender企業(yè)版安全軟件發(fā)現(xiàn)缺陷
責編:admin |2014-07-30 15:15:16安全軟件公司比特梵德(Bitdefender) 的Gravity企業(yè)端點安全保護平臺最近爆出缺陷, 黑客可以通過后門進入企業(yè)內(nèi)網(wǎng)。
安全咨詢公司SEC Consult漏洞實驗室的研究人員Stefan Wehbock說:“這一缺陷存在于最新版的Bitdefender的GravityZone中。 使得黑客可以通過網(wǎng)絡(luò)進入企業(yè)內(nèi)網(wǎng)。 黑客能夠完全攻破這一軟件, 獲取系統(tǒng)和數(shù)據(jù)庫級的訪問權(quán)限。 此外, 通過這個缺陷, 黑客甚至可以接管所有的端點”
Gravity存在著三個漏洞。 其中一個是存在無須認證的通過Web界面進行本地文件訪問的功能。 這樣使得攻擊者只要具有nginx用戶權(quán)限, 就能夠讀取服務(wù)器上的任何文件, 包括明文密碼文件。 這個漏洞目前Bitdefender已經(jīng)發(fā)布了補丁。
還有一個漏洞是對一個Web用戶可執(zhí)行的腳本未經(jīng)認證, 從而使得攻擊者可能獲取管理員權(quán)限。 這個漏洞也已經(jīng)打上了補丁.
第三個缺陷是其后臺MongoDB的數(shù)據(jù)庫存在硬編碼用戶名和密碼。 這個用戶可以訪問數(shù)據(jù)和數(shù)據(jù)庫配置文件。 并且這一硬編碼用戶無法刪除或修改密碼。 這樣的硬編碼對IT公司不少見(參見本站的文章 史上12大著名安全后門植入案例), 不過作為安全公司的產(chǎn)品存在這樣的漏洞就說不過去了。
Bitdefender計劃在7月底之前對這個漏洞發(fā)布補丁, 在此之前, 建議用戶停用該系統(tǒng)。直到廠商發(fā)布補丁并且補丁經(jīng)過充分測試后再加以使用。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!