Selon Bitdefender, une série de vulnérabilités sur la populaire plateforme de gestion d'actifs Device42 pourrait être exploitée pour donner aux attaquants un accès root complet au système.
En exploitant une vulnérabilité d'exécution de code à distance (RCE) dans l'instance intermédiaire de la plateforme, les attaquants pourraient réussir à obtenir un accès root complet et à prendre le contrôle complet des actifs hébergés à l'intérieur, Bitdefender les chercheurs ont écrit dans le rapport. La vulnérabilité RCE (CVE-2022-1399) a un score de base de 9.1 sur 10 et est classée « critique », explique Bogdan Botezatu, directeur de la recherche et du reporting sur les menaces chez Bitdefender.
"En exploitant ces problèmes, un attaquant pourrait usurper l'identité d'autres utilisateurs, obtenir un accès de niveau administrateur à l'application (en perdant une session avec un LFI) ou obtenir un accès complet aux fichiers et à la base de données de l'appliance (par l'exécution de code à distance)", note le rapport.
Les vulnérabilités RCE permettent aux attaquants de manipuler la plateforme pour exécuter du code non autorisé en tant que root – le niveau d'accès le plus puissant sur un appareil. Un tel code peut compromettre l'application ainsi que l'environnement virtuel sur lequel l'application s'exécute.
Pour accéder à la vulnérabilité d'exécution de code à distance, un attaquant qui ne dispose d'aucune autorisation sur la plateforme (comme un employé régulier en dehors des équipes informatiques et du centre de services) doit d'abord contourner l'authentification et accéder à la plateforme.
Enchaînement des failles dans les attaques
Cela peut être rendu possible grâce à une autre vulnérabilité décrite dans le document, CVE-2022-1401, qui permet à toute personne sur le réseau de lire le contenu de plusieurs fichiers sensibles dans l'appliance Device42.
Les clés de session contenant les fichiers sont chiffrées, mais une autre vulnérabilité présente dans l'appliance (CVE-2022-1400) aide un attaquant à récupérer la clé de déchiffrement codée en dur dans l'application.
« Le processus de connexion en série ressemblerait à ceci : un attaquant non privilégié et non authentifié sur le réseau utiliserait d'abord CVE-2022-1401 pour récupérer la session cryptée d'un utilisateur déjà authentifié », explique Botezatu.
Cette session chiffrée sera déchiffrée avec la clé codée en dur dans l'appliance, grâce à CVE-2022-1400. A ce stade, l’attaquant devient un utilisateur authentifié.
« Une fois connectés, ils peuvent utiliser CVE-2022-1399 pour compromettre entièrement la machine et prendre le contrôle total des fichiers et du contenu de la base de données, exécuter des logiciels malveillants, etc. », explique Botezatu. "C'est ainsi qu'en connectant en série les vulnérabilités décrites, un employé régulier peut prendre le contrôle total de l'appliance et des secrets qui y sont stockés."
Il ajoute que ces vulnérabilités peuvent être découvertes en effectuant un audit de sécurité approfondi pour les applications sur le point d'être déployées dans une organisation.
«Malheureusement, cela nécessite que des talents et une expertise considérables soient disponibles en interne ou sous contrat», dit-il. « Une partie de notre mission visant à assurer la sécurité des clients consiste à identifier les vulnérabilités des applications et des appareils IoT, puis à divulguer de manière responsable nos conclusions aux fournisseurs concernés afin qu'ils puissent travailler sur des correctifs. »
Ces vulnérabilités ont été corrigées. Bitdefender a reçu la version 18.01.00 avant sa sortie publique et a pu valider que les quatre vulnérabilités signalées – CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 et CVE-2022-1410 – ne sont plus présentes. Les organisations devraient immédiatement déployer les correctifs, dit-il.
Plus tôt ce mois-ci, un bug critique de RCE a été découvert dans les routeurs DrayTek, qui exposaient les PME à des attaques sans clic. S'il était exploité, cela pourrait donner aux pirates le contrôle total de l'appareil, ainsi qu'un accès au réseau plus large.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
