Bitdefenderi sõnul saab kasutada mitmeid populaarse varahaldusplatvormi Device42 haavatavusi, et anda ründajatele süsteemile täielik juurjuurdepääs.
Kasutades ära koodi kaugkäivitamise (RCE) haavatavust platvormi etapiviisilises eksemplaris, saavad ründajad edukalt omandada täieliku juurjuurdepääsu ja täieliku kontrolli sisemuses olevate varade üle, Bitdefender teadlased kirjutasid raportis. RCE haavatavuse (CVE-2022-1399) baasskoor on 9.1 punkti 10-st ja see on hinnatud "kriitiliseks", selgitab Bitdefenderi ohuuuringute ja aruandluse direktor Bogdan Botezatu.
"Neid probleeme ära kasutades võib ründaja esineda teiste kasutajatena, saada rakendusele administraatori tasemel juurdepääsu (lekkides seansi LFI-ga) või täieliku juurdepääsu seadme failidele ja andmebaasile (koodi kaugkäivitamisega), " märgiti aruandes.
RCE haavatavused võimaldavad ründajatel manipuleerida platvormiga, et käivitada volitamata koodi root kasutajana – see on seadme võimsaim juurdepääsutase. Selline kood võib kahjustada nii rakendust kui ka virtuaalset keskkonda, milles rakendus töötab.
Koodi kaugkäitamise haavatavuse juurde pääsemiseks peab ründaja, kellel pole platvormil õigusi (nt tavatöötaja väljaspool IT- ja teenindusmeeskondi), esmalt autentimisest mööda minema ja platvormile juurdepääsu saama.
Rünnakute vead
See saab võimalikuks mõne teise dokumendis kirjeldatud haavatavuse CVE-2022-1401 kaudu, mis võimaldab kõigil võrgus lugeda seadmes Device42 olevate tundlike failide sisu.
Failide seansi võtmed on krüptitud, kuid teine seadmes leiduv haavatavus (CVE-2022-1400) aitab ründajal hankida rakenduses kõvakoodiga dekrüpteerimisvõtme.
"Karikakra ahela protsess näeks välja selline: privilegeerimata, autentimata ründaja võrgus kasutab esmalt CVE-2022-1401, et tuua juba autentitud kasutaja krüpteeritud seanss," ütleb Botezatu.
Tänu CVE-2022-1400 krüptitud seansile dekrüpteeritakse seadmesse kõvakoodiga kood. Sel hetkel saab ründajast autentitud kasutaja.
"Pärast sisselogimist saavad nad kasutada CVE-2022-1399 masina täielikuks ohustamiseks ja täielikuks kontrollimiseks failide ja andmebaasi sisu üle, pahavara käivitamiseks ja nii edasi," ütleb Botezatu. "Nii saab tavaline töötaja, kui kirjeldatud haavatavused aheldada, täieliku kontrolli seadme ja selle sees olevate saladuste üle."
Ta lisab, et need haavatavused saab avastada, kui käivitate organisatsioonis juurutavate rakenduste põhjaliku turbeauditi.
"Kahjuks nõuab see märkimisväärset talenti ja asjatundlikkust, et olla saadaval ettevõttesiseselt või lepingu alusel," ütleb ta. "Osa meie missioonist klientide turvalisuse tagamisel on tuvastada haavatavused rakendustes ja asjade Interneti-seadmetes ning seejärel vastutustundlikult avaldada oma järeldused mõjutatud tarnijatele, et nad saaksid parandusi teha."
Need haavatavused on kõrvaldatud. Bitdefender sai versiooni 18.01.00 enne avalikustamist ja suutis kinnitada, et nelja teatatud turvaauku – CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 ja CVE-2022-1410 – enam pole. Organisatsioonid peaksid parandused viivitamatult kasutusele võtma, ütleb ta.
Selle kuu alguses oli kriitiline RCE viga avastasin DrayTeki ruuterites, mis paljastasid SMB-d nullklõpsu rünnakutele – kui seda kasutatakse, võib see anda häkkeritele täieliku kontrolli seadme üle ja juurdepääsu laiemale võrgule.
