首页保安美国国防部(DoD):发现其基础结构中的漏洞!

美国国防部(DoD):发现其基础结构中的漏洞!

美国国防部(DoD)已透露其基础结构中发现的四个漏洞的详细信息。 这些漏洞中有两个被评为“高严重性”,而另外两个则被评为“严重”。 该漏洞在XNUMX月和XNUMX月首次发现,可能允许 黑客 占据一个子域,任意执行 代码 从远处还是看 档案 在受影响的计算机上。 所有问题都是通过该部在平台上的漏洞披露而报告的 HackerOne错误赏金 由杰出的道德黑客。

关键漏洞之一是 子域接管,由于没有根据 亚马逊 S3斗。 道德黑客 时间0x 发现该问题可用于将合法内容托管在恶意内容中 。 然后将访问该网站的访问者 钓鱼 和跨站点脚本攻击。 该缺陷还会使攻击者绕过它 安全 并敏感地窃取 数据 用户。

美国国防部

评级为严重的第二个漏洞是由以下人员报告的: 赫兹拉加 19月XNUMX日。 这是关于 远程代码执行 σε 服务器 国防部运行Apache Solr,自2019年XNUMX月以来未收到补丁。该服务器容易受到以下漏洞的攻击: CVE-2019-0192和CVE-2019-0193,但是仅第二个就足以使攻击者在服务器上接收外壳。 但是,可以为两者利用代码。

另一个漏洞来自IT安全分析师发现的未修补软件 (他们的海军老兵 美国 和海岸警卫队) 只读路径遍历 这可能会使攻击者访问敏感和机密的系统文件。 这是其产品之一中发现的漏洞 思科.

美国国防部漏洞

第二个较不严重的漏洞是 输液 代码 根据该报告,在DoD服务器上,这可能导致任意代码执行。 e3xpl0it是网络安全公司“ Positive Technologies”的渗透测试人员。

在所有情况下,美国国防部都会立即纠正问题。 根据HackerOne平台的统计数据,国防部平均花费约2016个小时来纠正和解决每个漏洞。 自美国国防部于9555年1月启动HackerOne漏洞检测程序以来,它已处理了3个安全问题。 值得注意的是,在过去三个月中,该部已处理了其中的XNUMX/XNUMX以上。

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻