Ανακαλύφθηκαν πολλαπλά τρωτά σημεία στο Device42 Asset Management Appliance

Μια σειρά από τρωτά σημεία στη δημοφιλή πλατφόρμα διαχείρισης περιουσιακών στοιχείων Device42 θα μπορούσαν να αξιοποιηθούν για να δοθεί στους εισβολείς πλήρης πρόσβαση root στο σύστημα, σύμφωνα με το Bitdefender.

Με την εκμετάλλευση μιας ευπάθειας απομακρυσμένης εκτέλεσης κώδικα (RCE) στο στιγμιότυπο της πλατφόρμας, οι εισβολείς μπορούσαν να αποκτήσουν με επιτυχία πλήρη πρόσβαση root και να αποκτήσουν πλήρη έλεγχο των στοιχείων που βρίσκονται μέσα στο Bitdefender έγραψαν οι ερευνητές στην έκθεση. Η ευπάθεια RCE (CVE-2022-1399) έχει βασική βαθμολογία 9.1 στα 10 και βαθμολογείται ως «κρίσιμη», εξηγεί ο Bogdan Botezatu, διευθυντής έρευνας και αναφοράς απειλών στο Bitdefender.

«Εκμεταλλευόμενος αυτά τα ζητήματα, ένας εισβολέας θα μπορούσε να μιμηθεί άλλους χρήστες, να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή στην εφαρμογή (με διαρροή συνεδρίας με ένα LFI) ή να αποκτήσει πλήρη πρόσβαση στα αρχεία και τη βάση δεδομένων της συσκευής (μέσω της απομακρυσμένης εκτέλεσης κώδικα)», σημειώνεται στην αναφορά.

Τα τρωτά σημεία RCE επιτρέπουν στους εισβολείς να χειραγωγούν την πλατφόρμα για να εκτελέσουν μη εξουσιοδοτημένο κώδικα ως root — το πιο ισχυρό επίπεδο πρόσβασης σε μια συσκευή. Ένας τέτοιος κώδικας μπορεί να θέσει σε κίνδυνο την εφαρμογή καθώς και το εικονικό περιβάλλον στο οποίο εκτελείται η εφαρμογή.

Για να φτάσετε στην ευπάθεια απομακρυσμένης εκτέλεσης κώδικα, ένας εισβολέας που δεν έχει δικαιώματα στην πλατφόρμα (όπως ένας τακτικός υπάλληλος εκτός των ομάδων IT και γραφείου εξυπηρέτησης) πρέπει πρώτα να παρακάμψει τον έλεγχο ταυτότητας και να αποκτήσει πρόσβαση στην πλατφόρμα.

Αλυσιδωτές ατέλειες στις επιθέσεις

Αυτό μπορεί να γίνει δυνατό μέσω μιας άλλης ευπάθειας που περιγράφεται στο έγγραφο, το CVE-2022-1401, που επιτρέπει σε οποιονδήποτε στο δίκτυο να διαβάσει τα περιεχόμενα πολλών ευαίσθητων αρχείων στη συσκευή Device42.

Τα κλειδιά περιόδου λειτουργίας που φυλάσσουν το αρχείο είναι κρυπτογραφημένα, αλλά μια άλλη ευπάθεια που υπάρχει στη συσκευή (CVE-2022-1400) βοηθά έναν εισβολέα να ανακτήσει το κλειδί αποκρυπτογράφησης που είναι κωδικοποιημένο στην εφαρμογή.

«Η διαδικασία της αλυσίδας της μαργαρίτας θα μοιάζει με αυτό: ένας μη προνομιούχος, μη επαληθευμένος εισβολέας στο δίκτυο θα χρησιμοποιούσε πρώτα το CVE-2022-1401 για να ανακτήσει την κρυπτογραφημένη περίοδο λειτουργίας ενός ήδη πιστοποιημένου χρήστη», λέει ο Botezatu.

Αυτή η κρυπτογραφημένη συνεδρία θα αποκρυπτογραφηθεί με το κλειδί ενσωματωμένο στη συσκευή, χάρη στο CVE-2022-1400. Σε αυτό το σημείο, ο εισβολέας γίνεται πιστοποιημένος χρήστης.

«Μόλις συνδεθούν, μπορούν να χρησιμοποιήσουν το CVE-2022-1399 για να παραβιάσουν πλήρως το μηχάνημα και να αποκτήσουν τον πλήρη έλεγχο των αρχείων και των περιεχομένων της βάσης δεδομένων, να εκτελέσουν κακόβουλο λογισμικό και ούτω καθεξής», λέει ο Botezatu. «Με αυτόν τον τρόπο, δεσμεύοντας τις περιγραφόμενες ευπάθειες, ένας τακτικός υπάλληλος μπορεί να πάρει τον πλήρη έλεγχο της συσκευής και των μυστικών που είναι αποθηκευμένα μέσα σε αυτήν».

Προσθέτει ότι αυτά τα τρωτά σημεία μπορούν να ανακαλυφθούν εκτελώντας έναν ενδελεχή έλεγχο ασφαλείας για εφαρμογές που πρόκειται να αναπτυχθούν σε έναν οργανισμό.

«Δυστυχώς, αυτό απαιτεί σημαντικό ταλέντο και τεχνογνωσία για να είναι διαθέσιμο στο σπίτι ή με συμβόλαιο», λέει. «Μέρος της αποστολής μας να κρατάμε τους πελάτες ασφαλείς είναι να εντοπίζουμε τρωτά σημεία σε εφαρμογές και συσκευές IoT και, στη συνέχεια, να αποκαλύπτουμε υπεύθυνα τα ευρήματά μας στους επηρεαζόμενους προμηθευτές, ώστε να μπορούν να εργαστούν για επιδιορθώσεις».

Αυτά τα τρωτά σημεία έχουν αντιμετωπιστεί. Το Bitdefender έλαβε την έκδοση 18.01.00 πριν από τη δημόσια κυκλοφορία και μπόρεσε να επιβεβαιώσει ότι τα τέσσερα αναφερόμενα τρωτά σημεία — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 και CVE-2022-1410 — δεν υπάρχουν πλέον. Οι οργανισμοί θα πρέπει να αναπτύξουν αμέσως τις διορθώσεις, λέει.

Νωρίτερα αυτό το μήνα, ήταν ένα κρίσιμο σφάλμα RCE ανακάλυψαν στους δρομολογητές DrayTek, οι οποίοι εξέθεταν τις μικρομεσαίες επιχειρήσεις σε επιθέσεις με μηδενικό κλικ — εάν γίνει εκμετάλλευση, θα μπορούσε να δώσει στους χάκερ τον πλήρη έλεγχο της συσκευής, μαζί με πρόσβαση στο ευρύτερο δίκτυο.