• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Digital Security Продемонстрировала Уязвимость В Domino

M

morpheus

Digital Security продемонстрировала уязвимость в Lotus Domino, от которой не спасают патчи

На хакерской конференции Black Hat Europe, прошедшей с 14 по 16 марта, Алексей Синцов, руководитель департамента аудита ИБ Digital Security и эксперт исследовательской лаборатории DSecRG, поделился своим опытом проведения тестов на проникновение и представил результаты недавно проведенного исследования защищенности системы Lotus Domino.

В частности, Алексей Синцов продемонстрировал, как за короткое время можно разобрать приватную уязвимость в Lotus Domino и использовать полученный эксплойт, а также обойти существующий патч и найти критичную уязвимость нулевого дня. Результатом стала атака на сервис Domino Controller (сервис администрирования Lotus Domino), которая позволяет полностью скомпрометировать сервер, говорится в сообщении компании Digital Security.

Также были продемонстрированы доступные в интернете серверы, которые можно атаковать в любой момент, несмотря на то что для данной уязвимости доступен патч. По мнению Digital Security, демонстрация наглядно проиллюстрировала общепринятое отношение к безопасности, особенно с учетом того, что среди незащищенных серверов также оказались серверы правительственного сектора.

Как показывает опыт DSecRG (Digital Security Research Group), исследовательской лаборатории Digital Security, своевременная установка патча, выпущенного производителем, не всегда обеспечивает защиту, поскольку исправления уязвимостей зачастую некорректны. Так, за 2011 г. три критических патча от таких крупнейших производителей, как SAP, IBM и VMware, фактически не исправили или не полностью исправили обнаруженные лабораторией DSecRG уязвимости в их продуктах. Как результат, потенциальные злоумышленники могут по-прежнему эксплуатировать уязвимости, заключили в Digital Security.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!