En række sårbarheder på den populære asset management platform Device42 kunne udnyttes til at give angribere fuld root-adgang til systemet, ifølge Bitdefender.
Ved at udnytte en RCE-sårbarhed (Remote Code Execution) i platformens iscenesættelsesinstans, kunne angribere opnå fuld root-adgang og få fuldstændig kontrol over de aktiver, der er indeholdt i Bitdefender skrev forskere i rapporten. RCE-sårbarheden (CVE-2022-1399) har en basisscore på 9.1 ud af 10 og er vurderet som "kritisk", forklarer Bogdan Botezatu, direktør for trusselsforskning og -rapportering hos Bitdefender.
"Ved at udnytte disse problemer kan en angriber udgive sig for at være andre brugere, opnå adgang på administratorniveau i applikationen (ved at lække session med en LFI) eller få fuld adgang til apparatets filer og database (gennem fjernudførelse af kode)," bemærkede rapporten.
RCE-sårbarheder giver angribere mulighed for at manipulere platformen til at udføre uautoriseret kode som root - det mest kraftfulde adgangsniveau på en enhed. En sådan kode kan kompromittere applikationen såvel som det virtuelle miljø, appen kører på.
For at komme til sårbarheden ved fjernudførelse af kode skal en hacker, der ikke har nogen tilladelser på platformen (såsom en almindelig medarbejder uden for IT- og servicedesk-teamene), først omgå godkendelse og få adgang til platformen.
Kædende fejl i angreb
Dette kan gøres muligt gennem en anden sårbarhed beskrevet i papiret, CVE-2022-1401, der lader enhver på netværket læse indholdet af flere følsomme filer i Device42-enheden.
Filens sessionsnøgler er krypteret, men en anden sårbarhed i apparatet (CVE-2022-1400) hjælper en angriber med at hente dekrypteringsnøglen, der er hårdkodet i appen.
"Daisy-chain-processen ville se sådan ud: en uprivilegeret, uautoriseret angriber på netværket ville først bruge CVE-2022-1401 til at hente den krypterede session fra en allerede godkendt bruger," siger Botezatu.
Denne krypterede session vil blive dekrypteret med nøglen hårdkodet i apparatet, takket være CVE-2022-1400. På dette tidspunkt bliver angriberen en godkendt bruger.
"Når de er logget ind, kan de bruge CVE-2022-1399 til fuldt ud at kompromittere maskinen og få fuldstændig kontrol over filerne og databaseindholdet, udføre malware og så videre," siger Botezatu. "Sådan kan en almindelig medarbejder ved at sammenkæde de beskrevne sårbarheder tage fuld kontrol over apparatet og de hemmeligheder, der er gemt inde i det."
Han tilføjer, at disse sårbarheder kan opdages ved at køre en grundig sikkerhedsrevision for applikationer, der er ved at blive implementeret på tværs af en organisation.
"Desværre kræver dette et betydeligt talent og ekspertise for at være tilgængelig i huset eller på kontrakt," siger han. "En del af vores mission for at holde kunderne sikre er at identificere sårbarheder i applikationer og IoT-enheder og derefter ansvarligt afsløre vores resultater til de berørte leverandører, så de kan arbejde på rettelser."
Disse sårbarheder er blevet rettet. Bitdefender modtog version 18.01.00 forud for offentlig udgivelse og var i stand til at validere, at de fire rapporterede sårbarheder - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 og CVE-2022-1410 - ikke længere er til stede. Organisationer bør straks implementere rettelserne, siger han.
Tidligere på måneden var der en kritisk RCE-fejl opdaget i DrayTek-routere, som udsatte SMB'er for nul-klik-angreb - hvis det udnyttes, kan det give hackere fuldstændig kontrol over enheden sammen med adgang til det bredere netværk.
