Synology'nin DiskStation Manager'ında Yeni Yönetici Devralma Güvenlik Açığı Ortaya Çıktı - Dünyadan Güncel Teknoloji Haberleri

Synology'nin DiskStation Manager'ında Yeni Yönetici Devralma Güvenlik Açığı Ortaya Çıktı - Dünyadan Güncel Teknoloji Haberleri
Random() tarafından oluşturulan birkaç sayının çıktısını sızdırarak, PRNG’nin çekirdeğini yeniden oluşturabildik ve bunu yönetici şifresine kaba kuvvet uygulamak için kullanabildik” diye açıkladı “



siber-2

” söz konusu Salı günü yayınlanan bir raporda getRandomValues() yöntemini kullanın random() yöntemi Ağa bağlı depolama (NAS) cihazının yönetici parolasını programlı olarak oluşturmak için

Claroty’den Sharon Brizinov, “Bazı nadir koşullar altında, bir saldırgan sahte rastgele sayı üretecinin (PRNG) tohumunu geri yüklemeye, yönetici şifresini yeniden oluşturmaya ve yönetici hesabını uzaktan ele geçirmeye yetecek kadar bilgiyi sızdırabilir ”

Ancak saldırı, bir saldırganın, sözde rastgele sayı üretecinin çekirdek ifadesini yeniden oluşturabilmek için kurulum işlemi sırasında aynı yöntemi kullanarak oluşturulan birkaç GUID’i başarıyla çıkarmasına dayanır (PRNG) Random durumuna kaba kuvvet uygulaması ve yönetici şifresini ele geçirmesi gerekecektir “Sonunda yönetici hesabına giriş yapmak için şifreyi kullanabildik (etkinleştirdikten sonra) crypto “Bunu yaptıktan sonra bile yerleşik yönetici kullanıcı hesabı varsayılan olarak devre dışıdır ve çoğu kullanıcı bunu etkinleştirmez ” dedi

Dolayısıyla bu tür kusurların başarılı bir şekilde kullanılması, tehdit aktörünün oluşturulan şifreyi tahmin et ve aksi takdirde kısıtlanan işlevlere erişim kazanın ”

“Bir kez daha Math

Brizinov, “Gerçek hayattaki bir senaryoda, saldırganın öncelikle yukarıda belirtilen GUID’leri sızdırması, Math Bunları güvenlikle ilgili hiçbir şey için kullanmayın

CVE-2023-2729 tanımlayıcısı atanan kusurun ciddiyeti CVSS puanlama ölçeğinde 5,9 olarak derecelendirildi Kusur, Synology tarafından giderildi random()’ın kriptografik olarak güvenli rastgele sayılar sağlamadığını hatırlamak önemlidir

Brizinov, “Math Bunun yerine Web Crypto API’yi ve daha kesin olarak window


18 Ekim 2023Haber odasıGüvenlik Açığı / Veri Güvenliği

Synology DiskStation Manager’da orta düzeyde bir kusur keşfedildi (DSM) bir yöneticinin şifresini çözmek ve hesabı uzaktan ele geçirmek için kullanılabilir

Sorun, yazılımın JavaScript’e dayanan zayıf bir rastgele sayı üreteci kullanması gerçeğinden kaynaklanmaktadır güncellemeler Haziran 2023’te yayınlandı

Güvensiz rastgelelik olarak adlandırılan bu ortaya çıkar öngörülebilir değerler üretebilen veya yeterli entropiye sahip olmayan bir işlev, güvenlik bağlamında rastgelelik kaynağı olarak kullanıldığında, bir saldırganın şifrelemeyi kırmasına ve hassas bilgi ve sistemlerin bütünlüğünü bozmasına olanak tanır Math