Volgens Bitdefender zou een reeks kwetsbaarheden op het populaire activabeheerplatform Device42 kunnen worden misbruikt om aanvallers volledige roottoegang tot het systeem te geven.
Door gebruik te maken van een kwetsbaarheid voor het uitvoeren van externe code (RCE) in de staging-instantie van het platform, kunnen aanvallers met succes volledige root-toegang verkrijgen en volledige controle krijgen over de activa die erin zijn ondergebracht, Bitdefender onderzoekers schreven in het rapport. De RCE-kwetsbaarheid (CVE-2022-1399) heeft een basisscore van 9.1 op 10 en wordt als "kritiek" beoordeeld, legt Bogdan Botezatu, directeur van dreigingsonderzoek en rapportage bij Bitdefender, uit.
"Door deze problemen te misbruiken, kan een aanvaller zich voordoen als andere gebruikers, toegang op beheerdersniveau krijgen in de applicatie (door een lekkende sessie met een LFI) of volledige toegang krijgen tot de apparaatbestanden en de database (door externe code-uitvoering)", aldus het rapport.
Dankzij RCE-kwetsbaarheden kunnen aanvallers het platform manipuleren om ongeautoriseerde code als root uit te voeren - het krachtigste toegangsniveau op een apparaat. Dergelijke code kan de toepassing in gevaar brengen, evenals de virtuele omgeving waarin de app wordt uitgevoerd.
Om bij de kwetsbaarheid voor het uitvoeren van externe code te komen, moet een aanvaller die geen machtigingen heeft op het platform (zoals een reguliere medewerker buiten de IT- en servicedeskteams) eerst authenticatie omzeilen en toegang krijgen tot het platform.
Ketenfouten in aanvallen
Dit kan mogelijk worden gemaakt door een andere kwetsbaarheid die wordt beschreven in de paper, CVE-2022-1401, waardoor iedereen op het netwerk de inhoud van verschillende gevoelige bestanden in het Device42-apparaat kan lezen.
De sessiesleutels van het bestand zijn gecodeerd, maar een andere kwetsbaarheid in het apparaat (CVE-2022-1400) helpt een aanvaller om de decoderingssleutel te achterhalen die hard gecodeerd is in de app.
"Het daisy-chain-proces zou er als volgt uitzien: een onbevoegde, niet-geverifieerde aanvaller op het netwerk zou eerst CVE-2022-1401 gebruiken om de versleutelde sessie van een reeds geverifieerde gebruiker op te halen", zegt Botezatu.
Deze versleutelde sessie wordt ontsleuteld met de sleutel die hard gecodeerd is in het apparaat, dankzij CVE-2022-1400. Op dit punt wordt de aanvaller een geverifieerde gebruiker.
"Als ze eenmaal zijn ingelogd, kunnen ze CVE-2022-1399 gebruiken om de machine volledig te compromitteren en volledige controle te krijgen over de bestanden en database-inhoud, malware uit te voeren enzovoort", zegt Botezatu. "Zo kan een vaste medewerker, door de beschreven kwetsbaarheden in serie te schakelen, de volledige controle krijgen over het apparaat en de geheimen die erin zijn opgeslagen."
Hij voegt eraan toe dat deze kwetsbaarheden kunnen worden ontdekt door een grondige beveiligingsaudit uit te voeren voor applicaties die op het punt staan in een organisatie te worden geïmplementeerd.
"Helaas vereist dit een aanzienlijk talent en expertise om in huis of op contract beschikbaar te zijn", zegt hij. "Een deel van onze missie om klanten veilig te houden, is het identificeren van kwetsbaarheden in applicaties en IoT-apparaten, en vervolgens om onze bevindingen op verantwoorde wijze bekend te maken aan de getroffen leveranciers, zodat zij aan oplossingen kunnen werken."
Deze kwetsbaarheden zijn verholpen. Bitdefender ontving versie 18.01.00 vóór de openbare release en kon valideren dat de vier gemelde kwetsbaarheden — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 en CVE-2022-1410 — niet langer aanwezig zijn. Organisaties moeten de fixes onmiddellijk implementeren, zegt hij.
Eerder deze maand was er een kritieke RCE-bug: ontdekt in DrayTek-routers, die MKB's blootstelden aan zero-click-aanvallen - als ze worden misbruikt, kunnen hackers volledige controle over het apparaat krijgen, samen met toegang tot het bredere netwerk.
