Eine Reihe von Sicherheitslücken auf der beliebten Asset-Management-Plattform Device42 könnten laut Bitdefender ausgenutzt werden, um Angreifern vollen Root-Zugriff auf das System zu verschaffen.
Durch die Ausnutzung einer Schwachstelle zur Remote Code Execution (RCE) in der Staging-Instanz der Plattform konnten Angreifer erfolgreich vollen Root-Zugriff erlangen und die vollständige Kontrolle über die darin enthaltenen Assets, Bitdefender, erlangen Forscher schrieben in dem Bericht. Die RCE-Schwachstelle (CVE-2022-1399) hat eine Basispunktzahl von 9.1 von 10 und wird als „kritisch“ eingestuft, erklärt Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender.
„Durch die Ausnutzung dieser Probleme könnte sich ein Angreifer als andere Benutzer ausgeben, Zugriff auf Administratorebene in der Anwendung erhalten (durch Lecken einer Sitzung mit einem LFI) oder vollen Zugriff auf die Appliance-Dateien und die Datenbank (durch Remote-Code-Ausführung) erlangen“, heißt es in dem Bericht.
RCE-Schwachstellen ermöglichen es Angreifern, die Plattform zu manipulieren, um nicht autorisierten Code als Root auszuführen – die mächtigste Zugriffsebene auf einem Gerät. Solcher Code kann sowohl die Anwendung als auch die virtuelle Umgebung, in der die App ausgeführt wird, gefährden.
Um an die Schwachstelle bei der Remote-Codeausführung zu gelangen, muss ein Angreifer, der keine Berechtigungen auf der Plattform hat (z. B. ein normaler Mitarbeiter außerhalb der IT- und Service-Desk-Teams), zunächst die Authentifizierung umgehen und Zugriff auf die Plattform erhalten.
Verkettungsfehler bei Angriffen
Möglich wird dies durch eine weitere im Dokument beschriebene Schwachstelle CVE-2022-1401, die es jedem im Netzwerk ermöglicht, den Inhalt mehrerer sensibler Dateien in der Device42-Appliance zu lesen.
Die Datei, die Sitzungsschlüssel enthält, ist verschlüsselt, aber eine andere Schwachstelle in der Appliance (CVE-2022-1400) hilft einem Angreifer, den Entschlüsselungsschlüssel abzurufen, der in der App fest codiert ist.
„Der Daisy-Chain-Prozess würde so aussehen: Ein nicht privilegierter, nicht authentifizierter Angreifer im Netzwerk würde zuerst CVE-2022-1401 verwenden, um die verschlüsselte Sitzung eines bereits authentifizierten Benutzers abzurufen“, sagt Botezatu.
Diese verschlüsselte Sitzung wird dank CVE-2022-1400 mit dem in der Appliance fest codierten Schlüssel entschlüsselt. An diesem Punkt wird der Angreifer zu einem authentifizierten Benutzer.
„Sobald sie angemeldet sind, können sie CVE-2022-1399 verwenden, um die Maschine vollständig zu kompromittieren und die vollständige Kontrolle über die Dateien und Datenbankinhalte zu erlangen, Malware auszuführen und so weiter“, sagt Botezatu. „Auf diese Weise kann ein normaler Mitarbeiter durch Daisy-Chaining der beschriebenen Schwachstellen die volle Kontrolle über die Appliance und die darin gespeicherten Geheimnisse erlangen.“
Er fügt hinzu, dass diese Schwachstellen entdeckt werden können, indem ein gründliches Sicherheitsaudit für Anwendungen durchgeführt wird, die in einem Unternehmen bereitgestellt werden sollen.
„Leider erfordert dies erhebliches Talent und Fachwissen, das intern oder auf Vertragsbasis verfügbar sein muss“, sagt er. „Ein Teil unserer Mission, die Sicherheit unserer Kunden zu gewährleisten, besteht darin, Schwachstellen in Anwendungen und IoT-Geräten zu identifizieren und unsere Ergebnisse dann verantwortungsvoll an die betroffenen Anbieter weiterzugeben, damit sie an Lösungen arbeiten können.“
Diese Schwachstellen wurden behoben. Bitdefender erhielt Version 18.01.00 vor der Veröffentlichung und konnte bestätigen, dass die vier gemeldeten Schwachstellen – CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 und CVE-2022-1410 – nicht mehr vorhanden sind. Unternehmen sollten die Fixes sofort bereitstellen, sagt er.
Anfang dieses Monats gab es einen kritischen RCE-Bug entdeckt in DrayTek-Routern, die KMUs Zero-Click-Angriffen aussetzten – wenn es ausgenutzt wird, könnte es Hackern die vollständige Kontrolle über das Gerät geben, zusammen mit dem Zugriff auf das breitere Netzwerk.
