Pen Test Partners şirkətinin analitikləri Lenovo Solution Center məhsulunda təhlükəli boşluq aşkarlaya biliblər. Bu cihazlarda əvvəlcədən quraşdırılmış Windows əməliyyat sistemində məhsulu həssas edən əhəmiyyətli bir səhv müəyyən edilmişdir. İstənilən Moskvada informasiya təhlükəsizliyi kursları xatırlaya bilər ki, belə bir səhv sıfır gün zəifliyi adlanır.
Səhv haqqında nə məlumdur, Moskvada informasiya təhlükəsizliyi kursları
Zəiflik CVE-2019-6177 adlandırılıb. Ekspertlərin fikrincə, onun köməyi ilə təcavüzkar öz hüquqlarını artıra bilər. Yəni, administrator kimi zərərli kodu icra edin. Ən acınacaqlısı odur ki, səhv yeni aşkar edilib, halbuki o, 2011-ci ildən, yəni buraxılış tarixindən etibarən yardım proqramının bir hissəsidir. Məlum olub ki, hakerlər təlim keçib Cisco CCNA Cyber Ops Moskva, dəfələrlə istifadə edə bilmişlər.
İndi ekspertlər hər bir Lenovo istifadəçisinə Həll Mərkəzini mümkün qədər tez çıxarmağı tövsiyə edir. Hesablama avadanlığı şirkətinin öz tərtibatçılarına problem barədə hələ may ayında məlumat verilmişdi, lakin heç vaxt yeniləmə yayımlamamışdı. Eyni zamanda, hakerlər bu boşluqdan tam istifadə edə bilərlər:
- hədəf kompüterə nəzarət etmək;
- pul qoparmağa başlayın;
- istifadəçinin şəxsi məlumatlarını oğurlamaq.
Bunu qeyd etmək vacibdir kibertəhlükəsizlik kursları moskva oxşar olan avadanlıqlardan qaçınmaq öyrədilir zəifliklər. Proqram təminatını silmək daha yaxşıdır. Üstəlik, məcəlləyə düzəlişlər edən bir buraxılış buraxana qədər.
Səhvlə bağlı nə etdilər?
Təəccüblüdür ki, Lenovo proqram təminatını düzəltməyə tələsmir. Onun nümayəndələri bildirirlər ki, məhsula dəstək 2018-ci ilin aprelində dayandırılıb, baxmayaraq ki, əslində son yeniləmə 2018-ci ilin payızının sonlarında buraxılıb.
Şirkət nümayəndələrinin niyə ictimaiyyəti aldatdığı tam aydın deyil. Onlar bildirirlər ki, istifadəçilər bu məhsulu silməli və mövcud proqram təminatına təkmilləşdirməlidirlər. Bunu heç etiraf da etməyəcəklər informasiya təhlükəsizliyi təlimi Moskva pozulub.
Komanda SEDİCOMM Universiteti: Cisco Akademiyası, Linux Professional İnstitutu, Python İnstitutu.