От уязвимости пострадали версии NX, EX, AX, FX, и СМ, обновления для которых были выпущены в первом индивидуальном бюллетене по безопасности для системы.
FireEye уже выпустила ряд исправлений для своей операционной системы (FEOS), которая стала жертвой атаки “человек посередине”.
От уязвимости пострадали версии NX, EX, AX, FX, и СМ операционной системы FEOS, обновления для которых были выпущены в первом индивидуальном бюллетене безопасности для системы. Компания призвала клиентов применить исправления, особенно тех, кто все еще использует версию 7.1.0 и ниже.
Уровень ошибок в ОС варьировался от низкого до критического. Самая опасная из них позволяла злоумышленнику удаленно внедрить команды в FEOS в качестве суперпользователя без ключа аутентификации. Для того чтобы использовать уязвимости, мошеннику нужно отправлять команды интерфейсу управления FEOS.
Другие недостатки FEOS включали в себя: выполнение команд через интерфейс командной строки, SQL-инъекции, межсайтовый скриптинг, а также подделку запроса. Другие бреши позволяли злоумышленнику осуществить атаку “человек посередине” (CVE-2010-5298; CVE-2014-0198; CVE-2014-0221; CVE-2014-0224, CVE-2014-3470).
Информация о критических уязвимостях впервые появилась на web-сайте Exploit Database. Ее опубликовал исследователь Жан-Мари Бурбон (Jean-Marie Bourbon). Бурбон заявил, что он отправил данные об обнаруженных уязвимостях в FireEye еще в мае текущего года, однако представители компании не ответили ему. Впоследствии, исследователь решил опубликовать уязвимость в открытом доступе.
Спойлер: мы раскрываем их любимые трюки