Bitdefender에 따르면 인기 있는 자산 관리 플랫폼인 Device42의 일련의 취약점을 악용하여 공격자에게 시스템에 대한 전체 루트 액세스 권한을 부여할 수 있습니다.
공격자는 플랫폼의 스테이징 인스턴스에서 원격 코드 실행(RCE) 취약성을 악용하여 전체 루트 액세스 권한을 성공적으로 획득하고 내부에 저장된 자산을 완전히 제어할 수 있었습니다. Bitdefender 연구원은 보고서에 썼다. RCE 취약점(CVE-2022-1399)은 기본 점수가 9.1점 만점에 10점이며 "심각" 등급이라고 Bitdefender의 위협 연구 및 보고 책임자인 Bogdan Botezatu가 설명합니다.
보고서는 "이러한 문제를 악용함으로써 공격자는 다른 사용자를 사칭하고 애플리케이션에서 관리자 수준 액세스 권한을 얻거나(LFI와의 세션 유출을 통해) 어플라이언스 파일 및 데이터베이스에 대한 전체 액세스 권한을 얻을 수 있습니다(원격 코드 실행을 통해)"라고 보고서에서 밝혔습니다.
RCE 취약점을 통해 공격자는 플랫폼을 조작하여 무단 코드를 장치에서 가장 강력한 액세스 수준인 루트로 실행할 수 있습니다. 이러한 코드는 애플리케이션과 앱이 실행되는 가상 환경을 손상시킬 수 있습니다.
원격 코드 실행 취약성에 도달하려면 플랫폼에 대한 권한이 없는 공격자(예: IT 및 서비스 데스크 팀 외부의 일반 직원)가 먼저 인증을 우회하고 플랫폼에 대한 액세스 권한을 얻어야 합니다.
공격의 연쇄 결함
이는 백서 CVE-2022-1401에 설명된 또 다른 취약점을 통해 가능할 수 있습니다. 이 취약점은 네트워크의 모든 사람이 Device42 어플라이언스에 있는 여러 민감한 파일의 내용을 읽을 수 있도록 합니다.
세션 키를 보유한 파일은 암호화되지만 어플라이언스에 존재하는 또 다른 취약점(CVE-2022-1400)은 공격자가 앱에 하드코딩된 암호 해독 키를 검색하는 데 도움이 됩니다.
보테자투는 "데이지 체인 프로세스는 다음과 같다. 네트워크에서 권한이 없고 인증되지 않은 공격자가 먼저 CVE-2022-1401을 사용하여 이미 인증된 사용자의 암호화된 세션을 가져올 것"이라고 말했다.
이 암호화된 세션은 CVE-2022-1400 덕분에 어플라이언스에 하드코딩된 키로 해독됩니다. 이 시점에서 공격자는 인증된 사용자가 됩니다.
보테자투는 "로그인하면 CVE-2022-1399를 사용하여 시스템을 완전히 손상시키고 파일 및 데이터베이스 콘텐츠를 완전히 제어하고 맬웨어를 실행하는 등의 작업을 수행할 수 있습니다."라고 말했습니다. "이것은 설명된 취약점을 데이지 체인 방식으로 연결하여 일반 직원이 어플라이언스와 그 안에 저장된 비밀을 완전히 제어할 수 있는 방법입니다."
그는 조직 전체에 배포될 응용 프로그램에 대한 철저한 보안 감사를 실행하여 이러한 취약점을 발견할 수 있다고 덧붙였습니다.
"안타깝게도 이를 위해서는 사내에서 또는 계약을 통해 사용할 수 있는 상당한 재능과 전문 지식이 필요합니다."라고 그는 말합니다. "고객을 안전하게 보호하기 위한 우리 임무의 일부는 애플리케이션과 IoT 장치의 취약성을 식별한 다음 영향을 받는 벤더가 수정 작업을 할 수 있도록 우리가 발견한 내용을 책임감 있게 공개하는 것입니다."
이러한 취약점은 해결되었습니다. Bitdefender는 공개 릴리스 전에 버전 18.01.00을 받았으며 보고된 2022개의 취약점(CVE-1399-2022, CVE-1400-2022, CVE 1401-2022 및 CVE-1410-XNUMX)이 더 이상 존재하지 않음을 확인할 수 있었습니다. 조직은 수정 사항을 즉시 배포해야 한다고 그는 말합니다.
이번 달 초에 치명적인 RCE 버그가 발견되었습니다. 발견 SMB를 제로 클릭 공격에 노출시킨 DrayTek 라우터에서 악용될 경우 해커가 더 넓은 네트워크에 대한 액세스와 함께 장치를 완전히 제어할 수 있습니다.