Хакер #305. Многошаговые SQL-инъекции
Исследователи из Google Project Zero обнаружили опасную проблему в приложении Options, при помощи которого пользователи могут кастомизировать функциональность клавиш и настраивать поведение клавиатур, мышей и тачпадов Logitech.
Еще в сентябре 2018 года Тэвис Орманди (Tavis Ormandy) заметил, что приложение запускает на машине пользователя WebSocket-сервер. Проблема заключалась в том, что этот сервер поддерживал ряд опасных команд, использовал ключ реестра, чтобы стартовать каждый раз при запуске ОС, а также комплектовался ненадежной системой аутентификации.
Орманди объясняет, что для аутентификации требовался PID (process ID), однако количество попыток не было ограничено, то есть ничто не мешало потенциальному атакующему применить обычный брутфорс. После этого злоумышленник может навязать приложению любые произвольные команды и настройки, а также любые нажатия клавиш. То есть уязвимость позволяет локальному или удаленному атакующему осуществить атаку типа Rubber Ducky, при помощи которой можно легко установить полный контроль над системой.
Исследователь сообщил инженерам Logitech о проблеме еще 18 сентября 2018 года, но патч для уязвимости так и не был выпущен. Выждав положенные 90 дней, но так и не дождавшись выхода исправления, в конце прошлой недели специалист обнародовал информацию об уязвимости в открытом доступе. Лишь после этого разработчики Logitech поспешили выпустить Options версии 7.00.564, в которой опасный баг наконец был устранен.