Hewelett Packard
„Check Point“ aptiko naują HP biuro fakso aparatų asortimento pažeidžiamumą, leidžiantį įsilaužėliams išnaudoti su fakso numeriu susijusį trūkumą ir patekti į likusią įmonės įmonės tinklo dalį. Šis išnaudojimas neapsiriboja vienu produktu ar konkrečios įmonės sąranka, tačiau jis apima visus HP biuro fakso aparatus ir „viskas viename“ įrenginius, kuriuose integruota fakso sistema.
Patikrinimo taškas atrado šį trūkumą išbandydamas „HP Officejet all-in-one“ spausdintuvo fakso aparatus, tačiau jie pranešė, kad trūkumas nėra būdingas įrenginiui. Pažeidžiamumas atsiranda dėl fakso protokolo, kurį naudoja HP, todėl visi jo faksui paruošti įrenginiai tampa pažeidžiami. Tai reiškia, kad pagal „Check Point“ išvadą kiti išimtiniai fakso aparatai, fakso-pašto paslaugos ir fakso diegimas taip pat yra pažeidžiami.
Šis išnaudojimas veikia taip, kad įsilaužėlis randa būdą patekti į įmonės fakso aparatą ir tada šone išplėsti savo kontrolę visoje įmonės tinkle. Faksai yra patys atviriausi atakos tiksliniai taškai, nes prie jų gali pasiekti visi nuotoliniu būdu. Kadangi fakso siuntimo mechanizmas neatlieka jokio specialaus filtravimo ir leidžia prisijungti iš bet kurios vietos be mažiausių privilegijų įgyvendinimo, įsilaužėliai gali pasinaudoti šiais ryšiais, kad gautų privilegijas daugiau tinklo dalių. Šie kanalai gali būti naudojami buferiniams ar statiniams perpildymams sukelti.
Nors pasaulis perėjo prie labiau skaitmeninio ryšio metodo, fakso aparatai vis dar yra gerai integruoti į biurų esmę visame pasaulyje. Tai reiškia, kad įsilaužėliai gali naudotis šiomis platformomis, kad gautų prieigą prie sistemų ir atliktų bet kokią norimą komandą - nuo slapto slapto informacijos perėmimo iki dokumentų vagystės ar Bitcoin kasybos.
HP išleido atnaujinti už šį sudėtinį pažeidžiamumą (CVE-2018-5925 ir CVE-2018-5925, kurių kiekvienas turi CVSS 3.0 bazinį balą 9,8) savo svetainėje. HP faksu integruotų įrenginių vartotojų prašoma atitinkamai atnaujinti savo įrenginius. Be to, patariama, kad įmonės naudotųsi mažiausiai privilegijų fakso aparatuose, pavyzdžiui, įrenginiuose, ir nustatytų juos izoliuotuose tinklo segmentuose, kad likusi įmonės tinklo dalis nebūtų padaryta pažeidžiama per šią platformą.
![[FIX] Nepavyko pasiekti „Javascript“ / „VBScript“ vykdymo laiko pagal individualų veiksmą (2738 klaida)](https://jf-balio.pt/img/how-tos/61/could-not-access-javascript-vbscript-run-time.jpg)
