ניתן לנצל סדרה של פגיעויות בפלטפורמת ניהול הנכסים הפופולרית Device42 כדי לתת לתוקפים גישת שורש מלאה למערכת, לפי Bitdefender.
על ידי ניצול פגיעות של ביצוע קוד מרחוק (RCE) במופע הבמה של הפלטפורמה, התוקפים יכלו להשיג בהצלחה גישת שורש מלאה ולהשיג שליטה מלאה על הנכסים הנמצאים בפנים, Bitdefender כתבו חוקרים בדוח. לפגיעות RCE (CVE-2022-1399) יש ציון בסיס של 9.1 מתוך 10 והיא מדורגת "קריטית", מסביר Bogdan Botezatu, מנהל מחקר ודיווח איומים ב-Bitdefender.
"על ידי ניצול בעיות אלה, תוקף יכול להתחזות למשתמשים אחרים, להשיג גישה ברמת מנהל באפליקציה (על ידי הדלפת הפעלה עם LFI) או לקבל גישה מלאה לקבצי המכשיר ולבסיס הנתונים (באמצעות ביצוע קוד מרחוק)", צוין הדו"ח.
פרצות RCE מאפשרות לתוקפים לתפעל את הפלטפורמה כדי להפעיל קוד לא מורשה כ-root - רמת הגישה החזקה ביותר במכשיר. קוד כזה יכול לסכן את האפליקציה כמו גם את הסביבה הווירטואלית עליה האפליקציה פועלת.
כדי להגיע לפגיעות של ביצוע קוד מרחוק, תוקף שאין לו הרשאות בפלטפורמה (כגון עובד רגיל מחוץ לצוותי ה-IT והשירות) צריך קודם כל לעקוף את האימות ולקבל גישה לפלטפורמה.
שרשרת פגמים בהתקפות
זה יכול להתאפשר באמצעות פגיעות נוספת המתוארת בעיתון, CVE-2022-1401, המאפשרת לכל אחד ברשת לקרוא את התוכן של מספר קבצים רגישים במכשיר Device42.
הקובץ שמחזיק מפתחות הפעלה מוצפנים, אך פגיעות נוספת הקיימת במכשיר (CVE-2022-1400) מסייעת לתוקף לאחזר את מפתח הפענוח המקודד קשה באפליקציה.
"תהליך שרשרת הדייזי ייראה כך: תוקף חסר פריבילגיה, לא מאומת ברשת ישתמש תחילה ב-CVE-2022-1401 כדי להביא את הפגישה המוצפנת של משתמש שכבר אושר", אומר Botezatu.
הפעלה מוצפנת זו תפוענח עם המפתח מקודד קשיח במכשיר, הודות ל-CVE-2022-1400. בשלב זה, התוקף הופך למשתמש מאומת.
"לאחר הכניסה, הם יכולים להשתמש ב-CVE-2022-1399 כדי לסכן את המכונה במלואה ולהשיג שליטה מלאה על הקבצים ותכני מסד הנתונים, להפעיל תוכנות זדוניות וכן הלאה", אומר Botezatu. "כך, על ידי שרשרת פרצות המתוארות, עובד רגיל יכול להשתלט על המכשיר ועל הסודות המאוחסנים בתוכו."
הוא מוסיף כי ניתן לגלות את הפגיעויות הללו על ידי הפעלת ביקורת אבטחה יסודית עבור יישומים שעומדים להיפרס בארגון.
"למרבה הצער, זה דורש כישרון ומומחיות משמעותיים כדי להיות זמין בבית או בחוזה", הוא אומר. "חלק מהמשימה שלנו לשמור על בטיחות הלקוחות היא לזהות נקודות תורפה באפליקציות ובמכשירי IoT, ולאחר מכן לחשוף את הממצאים שלנו באחריות לספקים המושפעים כדי שיוכלו לעבוד על תיקונים."
פגיעויות אלו טופלו. Bitdefender קיבלה את גרסה 18.01.00 לפני השחרור לציבור והצליחה לאמת שארבעת הפגיעויות המדווחות - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 ו-CVE-2022-1410 - אינן קיימות עוד. ארגונים צריכים לפרוס מיד את התיקונים, הוא אומר.
מוקדם יותר החודש, היה באג קריטי של RCE גילה בנתבים של DrayTek, שחשפו עסקים קטנים ובינוניים להתקפות אפס קליקים - אם ינוצל, זה יכול לתת להאקרים שליטה מלאה במכשיר, יחד עם גישה לרשת הרחבה יותר.
