| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Sumário
Foi detectada uma vulnerabilidade classificada como crítico em Lenovo PC. O elemento afetado é uma função não identificada no componente Backdoor. A manipulação resulta em Autenticação fraca. Além disso, um exploit está disponível. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. No momento, a existência real desta vulnerabilidade ainda é questionada. Recomenda-se substituir o componente afetado por uma alternativa.
Detalhes
Foi detectada uma vulnerabilidade classificada como crítico em Lenovo PC. O elemento afetado é uma função não identificada no componente Backdoor. A manipulação resulta em Autenticação fraca. A definição de CWE para a vulnerabilidade é CWE-287. Esta vulnerabilidade foi publicada 26/07/2013 como Spy agencies ban Lenovo PCs on security concerns como News (Site). O comunicado foi disponibilizado para download em afr.com. O lançamento público foi feito sem coordenação com o fabricante. O comunicado inclui:
Lenovo, which is headquartered in Beijing, acquired IBM’s PC business in 2005. IBM continues to sell servers and mainframes that are accredited for secret and top-secret networks. A Defence spokesman said Lenovo had never sought accreditation.
Nenhuma informação técnica disponível. Esta vulnerabilidade é mais popular do que a média. Além disso, um exploit está disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. O boletim informa:
Computers manufactured by the world’s biggest personal computer maker, Lenovo, have been banned from the “secret” and ‘‘top secret” networks of the intelligence and defence services of Australia, the US, Britain, Canada, and New Zealand, because of concerns they are vulnerable to being hacked. (…) The ban was introduced in the mid-2000s after intensive laboratory testing of its equipment allegedly documented “back-door” hardware and “firmware” vulnerabilities in Lenovo chips.
Encontra-se declarado como funcional. Esperamos que o dia 0 tenha valido aproximadamente $5k-$25k. No momento, a existência real desta vulnerabilidade ainda é questionada.
Recomenda-se substituir o componente afetado por uma alternativa. O parecer contém a seguinte observação:
In 2006 it was disclosed that the US State Department had decided not to use 16,000 new Lenovo computers on classified networks because of security concerns. The change in procurement policy was attributed to anti-China trade sentiment after Lenovo’s acquisition of IBM’s PC business. Some experts argue that blocking specific companies from classified networks is not a panacea for security threats given the global nature of supply chains. Many western vendors have semiconductor fabrication plants, or “foundries”, based in China, which exposes them to the risk of interference.
Produto
Fabricante
Nome
Licença
Site
- Fabricante: https://www.lenovo.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.1VulDB Meta Pontuação Temporária: 7.3
VulDB Pontuação Base: 8.1
VulDB Pontuação Temporária: 7.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Autenticação fracaCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Privado
Estado: Funcional
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AlternativaEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
26/07/2013 🔍31/07/2013 🔍
19/03/2019 🔍
Fontes
Fabricante: lenovo.comAconselhamento: Spy agencies ban Lenovo PCs on security concerns
Estado: Não definido
Questionado: 🔍
GCVE (VulDB): GCVE-100-9808
OSVDB: 95821
scip Labs: https://www.scip.ch/en/?labs.20161013
Vários: 🔍
Entrada
Criado: 31/07/2013 15h14Atualizado: 19/03/2019 21h08
Ajustamentos: 31/07/2013 15h14 (48), 19/03/2019 21h08 (1)
Completo: 🔍
Cache ID: 216:97D:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.