Serangkaian kerentanan pada platform manajemen aset populer Device42 dapat dieksploitasi untuk memberi penyerang akses root penuh ke sistem, menurut Bitdefender.
Dengan mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) dalam contoh pementasan platform, penyerang dapat berhasil mendapatkan akses root penuh dan mendapatkan kendali penuh atas aset yang ada di dalamnya, Bitdefender peneliti menulis dalam laporan. Kerentanan RCE (CVE-2022-1399) memiliki skor dasar 9.1 dari 10 dan dinilai "kritis," jelas Bogdan Botezatu, direktur penelitian dan pelaporan ancaman di Bitdefender.
โDengan mengeksploitasi masalah ini, penyerang dapat menyamar sebagai pengguna lain, mendapatkan akses tingkat admin dalam aplikasi (dengan membocorkan sesi dengan LFI) atau mendapatkan akses penuh ke file dan basis data alat (melalui eksekusi kode jarak jauh),โ tulis laporan tersebut.
Kerentanan RCE memungkinkan penyerang memanipulasi platform untuk mengeksekusi kode yang tidak sah sebagai root โ tingkat akses paling kuat pada perangkat. Kode tersebut dapat membahayakan aplikasi serta lingkungan virtual tempat aplikasi berjalan.
Untuk mencapai kerentanan eksekusi kode jarak jauh, penyerang yang tidak memiliki izin pada platform (seperti karyawan biasa di luar tim IT dan meja layanan) harus terlebih dahulu melewati otentikasi dan mendapatkan akses ke platform.
Merantai Cacat dalam Serangan
Ini dapat dimungkinkan melalui kerentanan lain yang dijelaskan dalam makalah, CVE-2022-1401, yang memungkinkan siapa pun di jaringan membaca konten beberapa file sensitif di perangkat Device42.
File yang memegang kunci sesi dienkripsi, tetapi kerentanan lain yang ada di alat (CVE-2022-1400) membantu penyerang mengambil kunci dekripsi yang di-hardcode di aplikasi.
โProses daisy-chain akan terlihat seperti ini: penyerang yang tidak memiliki hak istimewa dan tidak diautentikasi di jaringan pertama-tama akan menggunakan CVE-2022-1401 untuk mengambil sesi terenkripsi dari pengguna yang sudah diautentikasi,โ kata Botezatu.
Sesi terenkripsi ini akan didekripsi dengan kunci yang di-hardcode di alat, berkat CVE-2022-1400. Pada titik ini, penyerang menjadi pengguna yang diautentikasi.
โSetelah masuk, mereka dapat menggunakan CVE-2022-1399 untuk sepenuhnya mengkompromikan mesin dan mendapatkan kendali penuh atas file dan konten basis data, mengeksekusi malware, dan sebagainya,โ kata Botezatu. โBeginilah caranya, dengan merangkai kerentanan yang dijelaskan, karyawan biasa dapat mengambil kendali penuh atas alat dan rahasia yang tersimpan di dalamnya.โ
Dia menambahkan kerentanan ini dapat ditemukan dengan menjalankan audit keamanan menyeluruh untuk aplikasi yang akan digunakan di seluruh organisasi.
โSayangnya, ini membutuhkan bakat dan keahlian yang signifikan untuk tersedia di rumah atau di kontrak,โ katanya. โBagian dari misi kami untuk menjaga keamanan pelanggan adalah mengidentifikasi kerentanan dalam aplikasi dan perangkat IoT, dan kemudian secara bertanggung jawab mengungkapkan temuan kami kepada vendor yang terpengaruh sehingga mereka dapat memperbaikinya.โ
Kerentanan ini telah diatasi. Bitdefender menerima versi 18.01.00 sebelum rilis publik dan mampu memvalidasi bahwa empat kerentanan yang dilaporkan โ CVE-2022-1399, CVE-2022-1400, CVE 2022-1401, dan CVE-2022-1410 โ tidak lagi ada. Organisasi harus segera menyebarkan perbaikan, katanya.
Awal bulan ini, bug RCE kritis adalah ditemukan di router DrayTek, yang membuat UKM terkena serangan tanpa klik โ jika dieksploitasi, peretas dapat mengontrol perangkat sepenuhnya, bersama dengan akses ke jaringan yang lebih luas.
