Уязвимость затронутого продукта вызвана недокументированным интерфейсом, обнаруженным на устройстве, который может позволить злоумышленнику…
Уязвимость затронутого продукта вызвана недокументированным интерфейсом, обнаруженным на устройстве, который может позволить злоумышленнику выполнять команды от имени root на устройстве N-Tron 702-W / 702M12-W (все версии).
Продукт содержит функциональность, которая не задокументирована, не предусмотрена спецификацией и недоступна через интерфейс или последовательность команд, очевидную для пользователей или администраторов продукта.
https://cwe.mitre.org/data/definitions/912.html →Открыть в коллекции CWE →Злоумышленник пытается задействовать все распространённые ключи и параметры в целевом приложении с целью обнаружения слабостей. Например, в некоторых приложениях добавление ключа --debug приводит к отображению отладочной информации, которая иногда позволяет злоумышленнику получить конфиденциальные сведения об обработке или конфигурации. Данная атака отличается от других форм злоупотребления API тем, что злоумышленник бессистемно пытается задействовать параметры в надежде, что хотя бы один из них сработает, а не целенаправленно атакует известный параметр. Тем не менее, даже если злоумышленник знаком с опубликованными параметрами целевого приложения, данный метод может оказаться результативным, поскольку позволяет обнаружить незадокументированную функциональность.
https://capec.mitre.org/data/definitions/133.html →Открыть в коллекции CAPEC →Злоумышленник анализирует двоичный файл или исполняемый файл с целью обнаружения структуры, функций и, возможно, исходного кода файла, применяя разнообразные методы анализа для эффективного определения того, как функционирует и работает программное обеспечение. Данный тип анализа также называется обратной разработкой кода, поскольку существуют методы извлечения исходного кода из исполняемого файла. Для этой цели нередко применяется ряд методов — как по принципу «чёрного ящика», так и «белого ящика». Использование анализаторов компьютерных шин и анализаторов пакетов позволяет изучать двоичный файл на уровне его взаимодействия со средой вычисления, такой как операционная система хоста, межпроцессное взаимодействие и/или сетевой обмен данными. Данный тип анализа относится к категории «чёрного ящика», поскольку предполагает поведенческий анализ программного обеспечения без обращения к исходному коду, объектному коду или спецификациям протокола.
https://capec.mitre.org/data/definitions/190.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| n-tron_702-w_firmware | * | Отслеживается |
| n-tron_702m12-w_firmware | * | Отслеживается |