Múltiples vulnerabilidades descubiertas en el dispositivo de gestión de activos Device42

Según Bitdefender, se podría explotar una serie de vulnerabilidades en la popular plataforma de gestión de activos Device42 para dar a los atacantes acceso completo al sistema.

Al explotar una vulnerabilidad de ejecución remota de código (RCE) en la instancia de prueba de la plataforma, los atacantes podrían obtener con éxito acceso completo a la raíz y obtener el control completo de los activos alojados en su interior, Bitdefender investigadores escribieron en el informe. La vulnerabilidad RCE (CVE-2022-1399) tiene una puntuación base de 9.1 sobre 10 y está calificada como "crítica", explica Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

“Al explotar estos problemas, un atacante podría hacerse pasar por otros usuarios, obtener acceso de nivel de administrador en la aplicación (filtrando la sesión con un LFI) u obtener acceso completo a los archivos y la base de datos del dispositivo (a través de la ejecución remota de código)”, señaló el informe.

Las vulnerabilidades de RCE permiten a los atacantes manipular la plataforma para ejecutar código no autorizado como root, el nivel de acceso más poderoso en un dispositivo. Dicho código puede comprometer la aplicación, así como el entorno virtual en el que se ejecuta la aplicación.

Para llegar a la vulnerabilidad de ejecución remota de código, un atacante que no tiene permisos en la plataforma (como un empleado regular fuera de los equipos de TI y de la mesa de servicio) primero debe eludir la autenticación y obtener acceso a la plataforma.

Encadenamiento de fallas en los ataques

Esto puede ser posible a través de otra vulnerabilidad descrita en el documento, CVE-2022-1401, que permite que cualquier persona en la red lea el contenido de varios archivos confidenciales en el dispositivo Device42.

El archivo que contiene las claves de sesión está encriptado, pero otra vulnerabilidad presente en el dispositivo (CVE-2022-1400) ayuda a un atacante a recuperar la clave de descifrado que está codificada en la aplicación.

“El proceso de conexión en cadena se vería así: un atacante no autenticado y sin privilegios en la red primero usaría CVE-2022-1401 para obtener la sesión cifrada de un usuario ya autenticado”, dice Botezatu.

Esta sesión cifrada se descifrará con la clave codificada en el dispositivo, gracias a CVE-2022-1400. En este punto, el atacante se convierte en un usuario autenticado.

“Una vez que inician sesión, pueden usar CVE-2022-1399 para comprometer completamente la máquina y obtener un control total de los archivos y el contenido de la base de datos, ejecutar malware, etc.”, dice Botezatu. “Así es como, al conectar en cadena las vulnerabilidades descritas, un empleado regular puede tomar el control total del dispositivo y los secretos almacenados en su interior”.

Agrega que estas vulnerabilidades se pueden descubrir ejecutando una auditoría de seguridad exhaustiva para las aplicaciones que están a punto de implementarse en una organización.

“Lamentablemente, esto requiere un talento y experiencia significativos para estar disponibles internamente o por contrato”, dice. “Parte de nuestra misión de mantener seguros a los clientes es identificar vulnerabilidades en aplicaciones y dispositivos IoT, y luego divulgar de manera responsable nuestros hallazgos a los proveedores afectados para que puedan trabajar en las soluciones”.

Estas vulnerabilidades han sido abordadas. Bitdefender recibió la versión 18.01.00 antes del lanzamiento público y pudo validar que las cuatro vulnerabilidades informadas (CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 y CVE-2022-1410) ya no están presentes. Las organizaciones deberían implementar inmediatamente las correcciones, dice.

A principios de este mes, se detectó un error crítico de RCE descubierto CRISPR en los enrutadores DrayTek, que exponían a las PYMES a ataques de cero clics; si se explotaba, podría dar a los piratas informáticos el control completo del dispositivo, junto con el acceso a la red más amplia.