0
0
Pesquisadores dizem ter descoberto uma série de vulnerabilidades potencialmente graves em dispositivos feitos pela empresa de privacidade online Winston Privacy. O fornecedor liberou patches que estão sendo enviados automaticamente para dispositivos.
A Winston Privacy fornece um serviço baseado em hardware projetado para aumentar a privacidade e a segurança on-line. A empresa diz que pode bloquear a vigilância on-line, acelerar a navegação e bloquear anúncios e rastreadores, e também anuncia seus serviços como uma alternativa às VPNs tradicionais.
Um consultor da empresa de testes de segurança ofensiva Bishop Fox e um pesquisador independente descobriram um total de 9 vulnerabilidades no dispositivo fornecido pela Winston Privacy aos clientes. Muitas das falhas foram atribuídas a uma classificação de gravidade crítica ou alta.
Os tipos de falhas de segurança identificadas no dispositivo incluem injeção de comando, falsificação de solicitação entre sites (CSRF), controle de acesso inadequado, compartilhamento de recursos de origem cruzada inseguro (CORS), credenciais padrão, controles de autorização insuficientes e serviços SSH não documentados.
Eles podem ser explorados para execução arbitrária de código, escalada de privilégios, alteração de configurações de dispositivos e lançamento de ataques DoS.
Chris Davis, o pesquisador da Bishop Fox creditado por encontrar as vulnerabilidades, disse à SecurityWeek que um invasor poderia explorar algumas dessas fraquezas para hackear um dispositivo winston privacy remotamente da internet, convencendo o usuário alvo a acessar uma página maliciosa.
“Alternativamente, se um invasor estivesse na rede local, um pedido de API não autenticado também comprometeria o dispositivo”, explicou Davis.
Justin Paglierani, pesquisador independente creditado por encontrar as vulnerabilidades, explicou que a exploração bem sucedida das falhas pode dar a um invasor acesso raiz a um dispositivo.
“Em algumas configurações, isso permitiria um invasor não autenticado acesso direto à sua rede interna, ignorando NAT, firewalls, etc”, disse Paglierani por e-mail. “Em outras configurações, permitiria que um invasor interceptasse qualquer tráfego não criptografado que passasse pelo dispositivo.”
As vulnerabilidades foram relatadas à Winston Privacy em julho e foram corrigidas na semana passada com o lançamento da versão 1.5.8. As atualizações de firmware contendo os patches são enviadas automaticamente aos dispositivos e os usuários não precisam tomar nenhuma ação.
Bishop Fox publicou um comunicado com detalhes técnicos para cada uma das vulnerabilidades identificadas.
FONTE: SECURITY WEEK