A Bitdefender szerint a népszerű Device42 eszközkezelő platform egy sor sebezhetőségét kihasználva a támadók teljes root hozzáférést kaphatnak a rendszerhez.
A platform állomásozó példányában található távoli kódvégrehajtási (RCE) biztonsági rést kihasználva a támadók sikeresen teljes root hozzáférést kaphatnak, és teljes irányítást szerezhetnek a benne található eszközök felett, Bitdefender – írták a kutatók a jelentésben. The RCE vulnerability (CVE-2022-1399) has a base score of 9.1 out of 10 and is rated “critical,” explains Bogdan Botezatu, director of threat research and reporting at Bitdefender.
“By exploiting these issues, an attacker could impersonate other users, obtain admin level access in the application (by leaking session with a LFI) or obtain full access to the appliance files and database (through remote code execution),” the report noted.
Az RCE sebezhetőségei lehetővé teszik a támadók számára, hogy manipulálják a platformot, hogy jogosulatlan kódot hajtsanak végre rootként – ez az eszköz leghatékonyabb hozzáférési szintje. Az ilyen kód veszélyeztetheti az alkalmazást, valamint azt a virtuális környezetet, amelyen az alkalmazás fut.
A távoli kódvégrehajtási rés eléréséhez a platformon engedélyekkel nem rendelkező támadónak (például az informatikai és szervizcsoporton kívüli rendes alkalmazottnak) először meg kell kerülnie a hitelesítést, és hozzá kell férnie a platformhoz.
Hibák láncolása a támadásokban
Ezt egy másik, a cikkben ismertetett, a CVE-2022-1401-es biztonsági rés teszi lehetővé, amely lehetővé teszi, hogy a hálózaton bárki elolvassa a Device42 készülékben található érzékeny fájlok tartalmát.
A fájlokat tároló munkamenetkulcsok titkosítottak, de a készülékben található egy másik sebezhetőség (CVE-2022-1400) segít a támadónak az alkalmazásban kódolt visszafejtési kulcs lekérésében.
“The daisy-chain process would look like this: an unprivileged, unauthenticated attacker on the network would first use CVE-2022-1401 to fetch the encrypted session of an already authenticated user,” Botezatu says.
Ez a titkosított munkamenet a CVE-2022-1400 szabványnak köszönhetően a készülékben kódolt kulccsal lesz visszafejtve. Ezen a ponton a támadó hitelesített felhasználóvá válik.
“Once logged in, they can use CVE-2022-1399 to fully compromise the machine and gain complete control of the files and database contents, execute malware and so on,” Botezatu says. “This is how, by daisy-chaining the described vulnerabilities, a regular employee can take full control of the appliance and the secrets stored inside it.”
Hozzáteszi, ezek a sérülékenységek a szervezeten belüli telepítés előtt álló alkalmazások alapos biztonsági auditjának lefuttatásával fedezhetők fel.
“Unfortunately, this requires require significant talent and expertise to be available in house or on contract,” he says. “Part of our mission to keep customers safe is to identify vulnerabilities in applications and IoT devices, and then to responsible disclose our findings to the affected vendors so they can work on fixes.”
Ezeket a sebezhetőségeket orvosolták. A Bitdefender a nyilvános kiadás előtt megkapta a 18.01.00-as verziót, és ellenőrizni tudta, hogy a négy jelentett sebezhetőség - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 és CVE-2022-1410 - már nincs jelen. A szervezeteknek azonnal telepíteniük kell a javításokat, mondja.
A hónap elején egy kritikus RCE hiba volt felfedezett a DrayTek útválasztókban, amelyek nulla kattintásos támadásoknak tették ki a kis- és középvállalkozásokat – ha kihasználják, a hackerek teljes irányítást biztosíthatnak az eszköz felett, a szélesebb hálózathoz való hozzáféréssel együtt.
