Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
В минувшие выходные инженеры Sophos выпустили экстренный патч для 0-day уязвимости, допускающей SQL-инъекцию в корпоративном Sophos XG Firewall. Дело в том, что багом уже успели воспользоваться злоумышленники.
Сотрудники Sophos узнали о проблеме на прошлой неделе, 22 апреля 2020 года, получив отчет от одного из своих клиентов. Тот сообщил, что обнаружил странное значение поля. Вскоре расследование выявило, что это был не простой баг, но уязвимость, уже находящаяся под активными атаками.
Теперь эксперты пишут, что атака использовала ранее неизвестную уязвимость, допускавшую SQL-инъекции с целью получения доступа к уязвимым устройствам XG. То есть злоумышленники атаковали устройства Sophos XG Firewall, с доступными из интернета User Portal или административной панелью управления (служба HTTPS).
Хакеры использовали SQL-инъекции для загрузки полезной нагрузки на устройства. Этот пейлоад затем похищал файлы XG Firewall. Украденные данные могли включать имена и хэшированные пароли администраторов устройства, а также учетные данные пользователей, используемые для удаленного доступа к девайсу. Также злоумышленники могли похитить данные о лицензии и серийном номере брандмауэра, и email’ы пользователей. Эксперты уверяют, что пароли для других систем аутентификации, таких как AD или LDAP, в результате атак не пострадали.
Расследование не выявило доказательств того, что хакеры успели использовать похищенные учетные данные для доступа к устройствам XG Firewall или к другим устройствам во внутренних сетях пострадавших.
Малварь, задействованную в этих атаках, исследователи назвали Asnarok, и подробный анализ этой угрозы можно найти здесь.
Внеплановый патч, выпущенный Sophos, не только устраняет проблему SQL-инъекций, но и ликвидирует все следы атак, гарантируя, что преступники более не получат доступа к скомпрометированному Sophos XG Firewall. Также обновление добавляет специальное поле на панель управления XG Firewall, чтобы владельцы устройств точно знали, было ли взломано их устройство.
|
|