বিটডিফেন্ডারের মতে, আক্রমণকারীদের সিস্টেমে সম্পূর্ণ রুট অ্যাক্সেস দেওয়ার জন্য জনপ্রিয় অ্যাসেট ম্যানেজমেন্ট প্ল্যাটফর্ম Device42-এ দুর্বলতার একটি সিরিজ ব্যবহার করা যেতে পারে।
প্ল্যাটফর্মের স্টেজিং ইন্সট্যান্সে রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতাকে কাজে লাগিয়ে আক্রমণকারীরা সফলভাবে সম্পূর্ণ রুট অ্যাক্সেস পেতে পারে এবং ভিতরে থাকা সম্পদের সম্পূর্ণ নিয়ন্ত্রণ লাভ করতে পারে, বিটডিফেন্ডার গবেষকরা প্রতিবেদনে লিখেছেন. RCE দুর্বলতা (CVE-2022-1399) এর 9.1-এর মধ্যে 10 বেস স্কোর রয়েছে এবং এটিকে "সমালোচনামূলক" রেট দেওয়া হয়েছে, বিটডিফেন্ডারের হুমকি গবেষণা এবং প্রতিবেদনের পরিচালক বোগদান বোতেজাতু ব্যাখ্যা করেছেন।
"এই সমস্যাগুলিকে কাজে লাগিয়ে, একজন আক্রমণকারী অন্য ব্যবহারকারীদের ছদ্মবেশ ধারণ করতে পারে, অ্যাপ্লিকেশনটিতে অ্যাডমিন স্তরের অ্যাক্সেস পেতে পারে (এলএফআইয়ের সাথে সেশন লিক করে) বা অ্যাপ্লায়েন্স ফাইল এবং ডাটাবেসে সম্পূর্ণ অ্যাক্সেস পেতে পারে (রিমোট কোড এক্সিকিউশনের মাধ্যমে)," রিপোর্টে উল্লেখ করা হয়েছে৷
RCE দুর্বলতাগুলি আক্রমণকারীদের রুট হিসাবে অননুমোদিত কোড চালানোর জন্য প্ল্যাটফর্মকে ম্যানিপুলেট করার অনুমতি দেয় - একটি ডিভাইসে অ্যাক্সেসের সবচেয়ে শক্তিশালী স্তর। এই ধরনের কোড অ্যাপ্লিকেশনটির সাথে সাথে অ্যাপটি যে ভার্চুয়াল পরিবেশে চলছে তার সাথে আপস করতে পারে।
রিমোট কোড এক্সিকিউশন দুর্বলতা পেতে, একজন আক্রমণকারী যার প্ল্যাটফর্মে কোন অনুমতি নেই (যেমন আইটি এবং সার্ভিস ডেস্ক টিমের বাইরে একজন নিয়মিত কর্মচারী) তাকে প্রথমে প্রমাণীকরণ বাইপাস করতে হবে এবং প্ল্যাটফর্মে অ্যাক্সেস পেতে হবে।
আক্রমণে চেইনিং ত্রুটি
CVE-2022-1401, কাগজে বর্ণিত আরেকটি দুর্বলতার মাধ্যমে এটি সম্ভব করা যেতে পারে, যা নেটওয়ার্কে থাকা যে কেউ ডিভাইস42 অ্যাপ্লায়েন্সে থাকা বেশ কয়েকটি সংবেদনশীল ফাইলের বিষয়বস্তু পড়তে দেয়।
ফাইল হোল্ডিং সেশন কীগুলি এনক্রিপ্ট করা হয়েছে, তবে অ্যাপ্লায়েন্সে উপস্থিত আরেকটি দুর্বলতা (CVE-2022-1400) আক্রমণকারীকে অ্যাপে হার্ডকোড করা ডিক্রিপশন কী পুনরুদ্ধার করতে সহায়তা করে৷
"ডেইজি-চেইন প্রক্রিয়াটি দেখতে এইরকম হবে: নেটওয়ার্কে একটি সুবিধাবিহীন, অপ্রমাণিত আক্রমণকারী প্রথমে একটি ইতিমধ্যে প্রমাণীকৃত ব্যবহারকারীর এনক্রিপ্ট করা সেশন আনতে CVE-2022-1401 ব্যবহার করবে," বোতেজাতু বলেছেন৷
CVE-2022-1400 কে ধন্যবাদ, এই এনক্রিপ্ট করা সেশনটি অ্যাপ্লায়েন্সে হার্ডকোড করা কী দিয়ে ডিক্রিপ্ট করা হবে। এই মুহুর্তে, আক্রমণকারী একটি প্রমাণীকৃত ব্যবহারকারী হয়ে ওঠে।
"একবার লগ ইন করার পরে, তারা মেশিনের সাথে সম্পূর্ণ আপস করতে এবং ফাইল এবং ডাটাবেসের বিষয়বস্তুর সম্পূর্ণ নিয়ন্ত্রণ পেতে, ম্যালওয়্যার চালাতে এবং আরও অনেক কিছু করতে CVE-2022-1399 ব্যবহার করতে পারে," বোতেজাতু বলেছেন। "এইভাবে, বর্ণিত দুর্বলতাগুলিকে ডেইজি-চেইনিং করে, একজন নিয়মিত কর্মচারী যন্ত্র এবং এর ভিতরে সঞ্চিত গোপনীয়তার সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে।"
তিনি যোগ করেন যে এই দুর্বলতাগুলি একটি সংস্থা জুড়ে মোতায়েন করা অ্যাপ্লিকেশনগুলির জন্য একটি পুঙ্খানুপুঙ্খ নিরাপত্তা অডিট চালানোর মাধ্যমে আবিষ্কার করা যেতে পারে।
"দুর্ভাগ্যবশত, এর জন্য বাড়িতে বা চুক্তিতে উপলব্ধ হওয়ার জন্য উল্লেখযোগ্য প্রতিভা এবং দক্ষতার প্রয়োজন," তিনি বলেছেন। "গ্রাহকদের নিরাপদ রাখার জন্য আমাদের মিশনের অংশ হল অ্যাপ্লিকেশন এবং IoT ডিভাইসে দুর্বলতা চিহ্নিত করা, এবং তারপর প্রভাবিত বিক্রেতাদের কাছে আমাদের ফলাফলগুলিকে দায়িত্বশীলভাবে প্রকাশ করা যাতে তারা সমাধানে কাজ করতে পারে।"
এই দুর্বলতাগুলি সমাধান করা হয়েছে। Bitdefender পাবলিক রিলিজের আগে সংস্করণ 18.01.00 পেয়েছে এবং যাচাই করতে সক্ষম হয়েছে যে চারটি রিপোর্ট করা দুর্বলতা — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401, এবং CVE-2022-1410 — আর নেই৷ সংস্থাগুলির অবিলম্বে সংশোধনগুলি স্থাপন করা উচিত, তিনি বলেছেন।
এই মাসের শুরুতে, একটি সমালোচনামূলক RCE বাগ ছিল আবিষ্কৃত DrayTek রাউটারগুলিতে, যা SMB-গুলিকে শূন্য-ক্লিক আক্রমণের জন্য উন্মুক্ত করে — যদি কাজে লাগানো হয়, তাহলে এটি হ্যাকারদের বৃহত্তর নেটওয়ার্কে অ্যাক্সেস সহ ডিভাইসের সম্পূর্ণ নিয়ন্ত্রণ দিতে পারে।
