बिटडेफेंडर के अनुसार, लोकप्रिय एसेट मैनेजमेंट प्लेटफॉर्म Device42 पर कमजोरियों की एक श्रृंखला का उपयोग हमलावरों को सिस्टम तक पूर्ण रूट एक्सेस देने के लिए किया जा सकता है।
प्लेटफ़ॉर्म के स्टेजिंग इंस्टेंस में रिमोट कोड निष्पादन (आरसीई) भेद्यता का फायदा उठाकर, हमलावर सफलतापूर्वक पूर्ण रूट एक्सेस प्राप्त कर सकते हैं और बिटडेफेंडर के अंदर स्थित संपत्तियों का पूर्ण नियंत्रण प्राप्त कर सकते हैं। शोधकर्ताओं ने रिपोर्ट में लिखा. RCE भेद्यता (CVE-2022-1399) का 9.1 में से 10 का आधार स्कोर है और इसे "महत्वपूर्ण" दर्जा दिया गया है, बिटडेफ़ेंडर में खतरे के अनुसंधान और रिपोर्टिंग के निदेशक बोगदान बोटेज़ातु बताते हैं।
"इन मुद्दों का फायदा उठाकर, एक हमलावर अन्य उपयोगकर्ताओं का प्रतिरूपण कर सकता है, एप्लिकेशन में व्यवस्थापक स्तर की पहुंच प्राप्त कर सकता है (एलएफआई के साथ सत्र लीक करके) या उपकरण फ़ाइलों और डेटाबेस तक पूर्ण पहुंच प्राप्त कर सकता है (रिमोट कोड निष्पादन के माध्यम से)," रिपोर्ट में कहा गया है।
RCE भेद्यता हमलावरों को अनधिकृत कोड को रूट के रूप में निष्पादित करने के लिए प्लेटफॉर्म में हेरफेर करने की अनुमति देती है - एक डिवाइस पर पहुंच का सबसे शक्तिशाली स्तर। ऐसा कोड एप्लिकेशन के साथ-साथ उस वर्चुअल वातावरण से समझौता कर सकता है जिस पर ऐप चल रहा है।
रिमोट कोड निष्पादन भेद्यता प्राप्त करने के लिए, एक हमलावर जिसके पास प्लेटफॉर्म पर कोई अनुमति नहीं है (जैसे आईटी और सर्विस डेस्क टीमों के बाहर एक नियमित कर्मचारी) को पहले प्रमाणीकरण को बायपास करने और प्लेटफॉर्म तक पहुंच प्राप्त करने की आवश्यकता होती है।
हमलों में जंजीर की खामियां
इसे पेपर में वर्णित एक अन्य भेद्यता के माध्यम से संभव बनाया जा सकता है, CVE-2022-1401, जो नेटवर्क पर किसी को भी डिवाइस42 उपकरण में कई संवेदनशील फाइलों की सामग्री को पढ़ने देता है।
फ़ाइल होल्डिंग सत्र कुंजी एन्क्रिप्टेड हैं, लेकिन उपकरण में मौजूद एक और भेद्यता (सीवीई -2022-1400) एक हमलावर को ऐप में हार्डकोड की गई डिक्रिप्शन कुंजी को पुनर्प्राप्त करने में मदद करती है।
"डेज़ी-चेन प्रक्रिया इस तरह दिखेगी: नेटवर्क पर एक अनधिकृत, अनधिकृत हमलावर पहले से ही प्रमाणित उपयोगकर्ता के एन्क्रिप्टेड सत्र को लाने के लिए CVE-2022-1401 का उपयोग करेगा," बोटेज़ातु कहते हैं।
CVE-2022-1400 की बदौलत इस एन्क्रिप्टेड सत्र को उपकरण में हार्डकोड की गई कुंजी के साथ डिक्रिप्ट किया जाएगा। इस बिंदु पर, हमलावर एक प्रमाणित उपयोगकर्ता बन जाता है।
"एक बार लॉग इन करने के बाद, वे मशीन से पूरी तरह से समझौता करने और फाइलों और डेटाबेस सामग्री पर पूर्ण नियंत्रण हासिल करने, मैलवेयर निष्पादित करने आदि के लिए सीवीई -2022-1399 का उपयोग कर सकते हैं," बोटेजातु कहते हैं। "इस तरह, वर्णित कमजोरियों को डेज़ी-चेनिंग करके, एक नियमित कर्मचारी उपकरण और उसके अंदर संग्रहीत रहस्यों का पूर्ण नियंत्रण ले सकता है।"
उन्होंने कहा कि इन कमजोरियों को एक संगठन में तैनात किए जाने वाले अनुप्रयोगों के लिए पूरी तरह से सुरक्षा ऑडिट चलाकर खोजा जा सकता है।
"दुर्भाग्य से, इसके लिए घर में या अनुबंध पर उपलब्ध होने के लिए महत्वपूर्ण प्रतिभा और विशेषज्ञता की आवश्यकता होती है," वे कहते हैं। "ग्राहकों को सुरक्षित रखने के हमारे मिशन का एक हिस्सा अनुप्रयोगों और आईओटी उपकरणों में कमजोरियों की पहचान करना है, और फिर जिम्मेदार विक्रेताओं को हमारे निष्कर्षों का खुलासा करना है ताकि वे सुधारों पर काम कर सकें।"
इन कमजोरियों को दूर किया गया है। बिटडेफ़ेंडर ने सार्वजनिक रिलीज़ से पहले संस्करण 18.01.00 प्राप्त किया और यह सत्यापित करने में सक्षम था कि चार रिपोर्ट की गई कमजोरियाँ - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401, और CVE-2022-1410 - अब मौजूद नहीं हैं। उनका कहना है कि संगठनों को तुरंत सुधारों को तैनात करना चाहिए।
इस महीने की शुरुआत में, एक महत्वपूर्ण आरसीई बग था की खोज ड्रेटेक राउटर में, जिसने एसएमबी को शून्य-क्लिक हमलों के लिए उजागर किया - यदि इसका शोषण किया जाता है, तो यह हैकर्स को व्यापक नेटवर्क तक पहुंच के साथ-साथ डिवाइस पर पूर्ण नियंत्रण दे सकता है।
