Citrix har endelig sluppet patch for Citrix ADC/Gateway. Kryptonøkler funnet i utstyr fra Fortinet. Selskap som skulle beskytte mot DDoS-angrep betalte for angrep mot egne kunder. Nettverksutstyr fra Netgear lekket private sertifikater.
Citrix har endelig sluppet patch for Citrix ADC/Gateway
Kryptonøkler funnet i utstyr fra Fortinet
Selskap som skulle beskytte mot DDoS-angrep betalte for angrep mot egne kunder
| Tucker Preston fra Georgia, USA stiftet firmaet BackConnect Inc som skulle beskytte kundene sine mot DDoS-angrep. Nå vedkjenner han at firmaet har benyttet seg av en DDoS-for-hire tjeneste for å utføre angrep mot sine egne kunder. Preston risikerer dermed å måtte sone inntil 10 år i fengsel, samt å betale en bot på 250 000 amerikanske dollar. |
| Referanser |
https://krebsonsecurity.com/2020/01/ddos-miti[...]
|
Nettverksutstyr fra Netgear lekket private sertifikater
| I et forsøk på å gjøre det enklere for kundene å konfigurere sitt nettverks-utstyr lekket Netgear privat-nøkkelen til sertifikater. For å unngå at kunden skal måtte både finne og taste inn IP-adressen til ruteren sin default gateway gjør Netgear det i stedet mulig å navigere til https://routerlogin.com eller https://routerlogin.net for å aksessere administratorpanelet. Utstyret støtter ikke HTTP og normalt ville nettleseren advart om at sertifikatet ikke er gyldig. Netgear unngår dette ved å benytte privat-nøkkelen til sertifikatet for å verifisere det. Denne nøkkelen ligger lagret ubeskyttet i fastvaren og kan lastes ned av hvem som helst. Dette gjør det blant annet mulig å lage falske sertifikater som aksepteres som gyldige av moderne nettlesere. Disse kan så brukes til å utføre "Man in the Middle"-angrep mot routerne. |
| Referanser |
https://www.theregister.co.uk/2020/01/20/netg[...]
|