want to advertise here $100 / views

Jul 26, 2013

Server Misconfiguration mengungkapkan password dari semua Jaringan Karyawan Barracuda

hacking
Ahli keamanan Ebrahim Hegazy telah menemukan Sandi pengungkapan kerentanan dalam update server Barracuda yang memungkinkan untuk mendapatkan akses ke kredensial karyawan.

Informasi Mesir penasehat keamanan Ebrahim Hegazy (@Zigoo0) telah menemukan Sandi pengungkapan kerentanan di salah satu server update Barracuda yang memungkinkan penyerang untuk mendapatkan akses ke semua data karyawan.

Ketika administrator sistem perlu untuk melindungi direktori dengan lapisan otentikasi kedua (otentikasi dasar) selain otentikasi back-end, dia bisa melakukannya dengan beberapa metode, salah satunya adalah melalui metode konfigurasi. Htaccess dan. File htpasswd. Sebuah konfigurasi yang benar dapat mencegah pengunjung untuk surfing wilayah reserved (misalnya / Cpanel atau / admin), dalam skenario ini popup mengusulkan untuk pengguna meminta untuk memasukkan kredensial otentikasi, bahwa kredensial disimpan dalam file htpasswd sebagai.:
Username: Password

Dalam skenario normal htpasswd harus disimpan di luar direktori web (misalnya C:. \ AnyName \ htpasswd)

Namun dalam edisi Barracuda file tersebut disimpan di dalam direktori panel admin dan dapat diakses oleh siapa saja dengan kumandang serius.

Jika pengguna langsung mengakses link berikut updates.cudasvc.com/admin/.htpasswd, ia akan mampu untuk mengungkapkan password dari semua Barracuda Jaringan Karyawan seperti: Dukungan, Penjualan, karyawan Cabang Inggris, Perbarui pengguna Server , Insinyur dan lebih dari mereka yang memiliki akses ke lapisan otentikasi dasar!

Password kerentanan
pengungkapan ini diperparah oleh kenyataan bahwa password yang disimpan sebagai teks yang jelas, mengikuti screenshot sebelum kerentanan harus ditambal
Sandi pengungkapan kerentanan di Barracuda

Kerentanan telah dilaporkan oleh Ebrahim Hegazy ke Barracuda, yang sudah tetap itu, meskipun itu tidak memenuhi syarat untuk karunia. Penasaran bahwa Barracuda dianggap "Password pengungkapan kerentanan" dari kerentanan lingkup, IMHO saya menganggap itu cacat kritis.

Ebrahim Hegazy telah menemukan dan melaporkan kerentanan terhadap Barracuda sebagai peserta dalam program karunia bug Barracuda.

Saya menganggap Ebrahim Hegazy seorang profesional yang sangat terampil yang melakukan pekerjaan yang sangat baik di bidang keamanan, mari kita mengingatkan bahwa dalam beberapa bulan terakhir dia telah menemukan kelemahan dalam DropBox, situs web Avira dan Yahoo! ... Apa selanjutnya?

Apa yang akan terjadi jika orang-orang pintar akan mulai menjual pengetahuan kerentanan di bawah tanah?

Artikel Terkait

0komentar:

Post a Comment