Secondo Bitdefender, una serie di vulnerabilità sulla popolare piattaforma di gestione patrimoniale Device42 potrebbe essere sfruttata per fornire agli aggressori l'accesso completo al sistema.
Sfruttando una vulnerabilità RCE (Remote Code Execution) nell'istanza di staging della piattaforma, gli aggressori potrebbero ottenere con successo l'accesso root completo e ottenere il controllo completo delle risorse ospitate all'interno, Bitdefender hanno scritto i ricercatori nel rapporto. La vulnerabilità RCE (CVE-2022-1399) ha un punteggio base di 9.1 su 10 ed è classificata "critica", spiega Bogdan Botezatu, direttore della ricerca e del reporting sulle minacce presso Bitdefender.
"Sfruttando questi problemi, un utente malintenzionato potrebbe impersonare altri utenti, ottenere l'accesso a livello di amministratore nell'applicazione (perdendo una sessione con un LFI) o ottenere l'accesso completo ai file e al database dell'appliance (tramite l'esecuzione di codice remoto)", osserva il rapporto.
Le vulnerabilità RCE consentono agli aggressori di manipolare la piattaforma per eseguire codice non autorizzato come root, il livello di accesso più potente su un dispositivo. Tale codice può compromettere l'applicazione e l'ambiente virtuale su cui è in esecuzione l'app.
Per raggiungere la vulnerabilità legata all'esecuzione di codice in modalità remota, un utente malintenzionato che non dispone di autorizzazioni sulla piattaforma (ad esempio un dipendente regolare esterno ai team IT e del service desk) deve prima ignorare l'autenticazione e ottenere l'accesso alla piattaforma.
Concatenare i difetti negli attacchi
Ciò può essere reso possibile attraverso un'altra vulnerabilità descritta nel documento, CVE-2022-1401, che consente a chiunque sulla rete di leggere il contenuto di diversi file sensibili nell'appliance Device42.
Il file che contiene le chiavi di sessione è crittografato, ma un'altra vulnerabilità presente nell'appliance (CVE-2022-1400) aiuta un utente malintenzionato a recuperare la chiave di decrittazione codificata nell'app.
"Il processo di collegamento a catena sarebbe simile a questo: un utente malintenzionato non privilegiato e non autenticato sulla rete utilizzerebbe prima CVE-2022-1401 per recuperare la sessione crittografata di un utente già autenticato", afferma Botezatu.
Questa sessione crittografata verrà decrittografata con la chiave codificata nell'appliance, grazie a CVE-2022-1400. A questo punto, l'aggressore diventa un utente autenticato.
"Una volta effettuato l'accesso, possono utilizzare CVE-2022-1399 per compromettere completamente la macchina e ottenere il controllo completo dei file e dei contenuti del database, eseguire malware e così via", afferma Botezatu. "In questo modo, collegando in cascata le vulnerabilità descritte, un normale dipendente può assumere il pieno controllo dell'appliance e dei segreti archiviati al suo interno."
Aggiunge che queste vulnerabilità possono essere scoperte eseguendo un controllo di sicurezza approfondito per le applicazioni che stanno per essere distribuite in un'organizzazione.
"Purtroppo, ciò richiede che talento e competenze significativi siano disponibili internamente o su contratto", afferma. “Parte della nostra missione per proteggere i clienti è identificare le vulnerabilità nelle applicazioni e nei dispositivi IoT e quindi divulgare in modo responsabile i nostri risultati ai fornitori interessati in modo che possano lavorare sulle soluzioni”.
Queste vulnerabilità sono state risolte. Bitdefender ha ricevuto la versione 18.01.00 prima del rilascio pubblico ed è stato in grado di verificare che le quattro vulnerabilità segnalate — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 e CVE-2022-1410 — non sono più presenti. Le organizzazioni dovrebbero implementare immediatamente le soluzioni, afferma.
All'inizio di questo mese è stato riscontrato un bug RCE critico scoperto nei router DrayTek, che hanno esposto le PMI ad attacchi zero-click: se sfruttati, potrebbero dare agli hacker il controllo completo del dispositivo, insieme all’accesso alla rete più ampia.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
