פגיעות בשרת Helix Core נותנת שליטה לאקרים

ארבע נקודות תורפה התגלו על ידי מיקרוסופט ב-Perforce Helix Core Server, כאשר אחת מהן נותנת לפורץ את היכולת לבצע מרחוק פקודות מחשבון 'LocalSystem'.

Helix Core Server מציע מיקום יחיד לאחסון וגישה לתוכן דיגיטלי, המשמש לעתים קרובות לאחסון קוד, ומאפשר זרימת עבודה משופרת על ידי מתן גישה למספר משתמשים לאותו תוכן קובץ ולהיסטוריה שלו.

התוכנה משמשת את מפתחי המשחקים של מיקרוסופט, והחולשות התגלו במהלך סקירת אבטחה של המוצר. הוא נמצא בשימוש נרחב במגוון מגזרים אחרים, כולל ממשל, צבא וטכנולוגיה.

 ציונים גבוהים בכל רחבי הלוח

שלוש מהחולשות קיבלו ציון CVSS של 7.5, והן כוללות שימוש בפקודות מרחוק או שימוש לרעה בכותרת RPC כדי לגרום למניעת שירות (DoS). עם זאת, הפגיעות המסוכנת ביותר קיבלה ציון CVSS של 9.8 ודירוג 'קריטי', שכן הפגיעות מאפשרת לשחקני איומים להפעיל קוד מרחוק כמשתמש LocalSystem.

זה מסוכן במיוחד מכיוון שמשתמש LocalSystem משמש בעיקר לביצוע פונקציות מערכת, ויש לו גישה מוסמכת לקבצי מערכת ולמשאבים רגישים אחרים, כלומר אם פגיעות זו הייתה מנוצלת בהצלחה היא עלולה לוותר על שליטה מלאה במערכת היעד.

יתרה מכך, פגיעות זו גם מאפשרת לשחקני איומים להתקין דלתות אחוריות המאפשרות להם לגשת למערכות במועד מאוחר יותר כדי לגנוב מידע רגיש או לתכנן מתקפת כופר.

הרשימה המלאה של פגיעויות כפי שמסוכמת במסד הנתונים הלאומי של NIST הפגיעות היא:

  • CVE-2023-5759 (ציון CVSS 7.5): לא מאומת (DoS) באמצעות שימוש לרעה בכותרת RPC. 
  • CVE-2023-45849 (ציון CVSS 9.8): ביצוע קוד מרחוק לא מאומת כ-LocalSystem. 
  • CVE-2023-35767 (ציון CVSS 7.5): DoS לא מאומת באמצעות פקודה מרחוק. 
  • CVE-2023-45319 (ציון CVSS 7.5): DoS לא מאומת באמצעות פקודה מרחוק. 

משתמשי Helix Core Server יכולים לשדרג לגרסה העדכנית ביותר, 2023.1/2513900, כדי להגן על עצמם מפני פגיעות זו, ו-Perforce גם הציעה מספר המלצות אבטחה במדריך האבטחה הזה .

דרך BleepingComputer

עוד מ-TechRadar Pro

הירשם לניוזלטר TechRadar Pro כדי לקבל את כל החדשות, הדעות, התכונות וההדרכה המובילות שהעסק שלך צריך כדי להצליח!

בנדיקט קולינס הוא כותב צוות ב-TechRadar Pro העוסק בפרטיות ואבטחה. לפני שהתמקם בעיתונות בן עבד כמנהל הפקת סטרימינג בשידור חי, סיקר משחקים בליגת ההוקי קרח הלאומית במשך 5 שנים ותרם רבות לקידום השידור החי בליגה.

יש לו תואר שני בביטחון, מודיעין ודיפלומטיה, לצד תואר ראשון בפוליטיקה עם עיתונאות, שניהם מאוניברסיטת בקינגהם. מחוץ לעבודה בן עוקב אחר ענפי ספורט רבים; בעיקר הוקי קרח ורוגבי. כשלא רץ או מטפס, ניתן למצוא את בן לרוב עמוק בשיח של גן פאב.

אולי יעניין אותך גם

  • איך להיות זכאי לתשלום מחנות Google Play קרא עוד »
  • כלי הבינה המלאכותית החדש של Microsoft Copilot קרא עוד »
  • HP חושפת את המחשב הנייד הגיימינג "הקל ביותר בעולם" קרא עוד »
  • סקירת Coros Pace 2 - שעון ספורט סופר קל משקל קרא עוד »
להראות יותר
Back to top button

זוהה חוסם מודעות

אנא שקול לתמוך בנו על ידי השבתת חוסם המודעות שלך