Основные блоги b.Z » Все блоги » Про интернет » Кейген ForitNAC, «заражающий» лицензионные ключи исполняемым на сервере кодом (CVE-2023-22637)

Кейген ForitNAC, «заражающий» лицензионные ключи исполняемым на сервере кодом (CVE-2023-22637)

Все блоги / Про интернет 30 сентября 2023 319   
Смотреть в Telegram Поделиться в TG

В этом иссле­дова­нии я изу­чил при­ложе­ние FortiNAC — популярную в мире кровавого энтерпрайза систему контроля сетевого доступа (Network Access Control, NAC) от известного разработчика решений в информационной безопасности. Основная задача подобных продуктов — обнаруживать и профилировать любые устройства, которые подключаются к корпоративной инфраструктуре.

Мне удалось найти следующую цепоч­ку дефек­тов и уяз­вимос­тей: облегча­ющая ревёр­синг дебаго­вая информа­ция в ском­пилиро­ван­ных клас­сах Java, сла­бая крип­тогра­фия, хра­нимая XSS и инъ­екция команд, что вылилось в написание генера­тора лицен­зион­ных клю­чей, которые пос­ле акти­вации выпол­няют про­изволь­ный код от име­ни супер­поль­зовате­ля на сер­вере уязвимого при­ложе­ния.

Читать далее

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Редакция Spark.ru: 10 контрольных моментов, на которые стоит обратить внимание при подготовке e-mail-кампании

Рассмотрим основные моменты рассылки и то как не попасть в спам. 1. База под­пис­чи­ков. Это один из клю­че­вых мо­мен­тов и по­ка­за­тель успе­ха всей рас­сыл­ки. Ста­рай­тесь ка­че­ствен­но со­би­рать, сег­мен­ти­ро­вать и ис­поль­зо­вать свою кли­ент­скую базу. Ко­неч­но, мно­гие биз­не­сы

подробнее »
23 января 2021
Редакция Spark.ru: 7 маркетинговых ходов для увеличения продаж в сезон спада продаж

Для многих видов бизнеса существует такое понятие как сезонный спад продаж. Чтобы не потерять клиентов, в такие периоды необходимо использовать следующие маркетинговые активности и ходы. ­1. Спец­пред­ло­же­ния. Фор­ми­руй­те спе­ци­аль­ные пред­ло­же­ния, ко­то­рые будут мо­ти­ви­ро­вать

подробнее »
31 января 2021
Тоня Самсонова, «Яндекс.Q»: о травле, трафике и нейросетях в UGC

Roem публикует текстовую версию интервью основательницы The Question и главы «Яндекс.Q» Тони Самсоновой подкасту «Медиасреда». Разговор состоялся в декабре 2019 года. В беседе Тоня рассказала о: Создании нового сервиса на базе TheQuestion и «Яндекс.Знатоков». Том каким будет «Яндекс.Q». Как

подробнее »
11 апреля 2020
Редакция Spark.ru: Как составить семантическое ядро сайта

Сбор семантического ядра — один из базовых этапов продвижения проекта. Чтобы улучшить видимость ресурса, нужно проанализировать поисковые запросы определенной тематики и отобрать оптимальные ключевые слова. Правильно составленное семантическое ядро дает возможность лучше понять потенциального

подробнее »
19 марта 2021
NAC под санкциями – чем заменить Cisco ISE?

Мы в К2Тех 15 лет занимаемся внедрением NAC-решений, и имеем, как нам казалось, большой опыт в этом вопросе. Но даже с нашим опытом 2022-й год стал неожиданностью. Оказалось, что необходимо срочно и в неоптимальных условиях проводить импортозамещение NAC для десятков крупных компаний, которые на

подробнее »
23 мая 2023
NAC под санкциями – чем заменить  Cisco ISE?

Команда К2Тех занимается внедрением NAC-решений 17 лет, и имеет, как нам казалось, большой опыт в этом вопросе. Но даже с нашим опытом 2022-й год стал неожиданностью. Оказалось, что необходимо срочно и в неоптимальных условиях проводить импортозамещение NAC для десятков крупных компаний, которые на

подробнее »
19 июня 2023
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии