En rekke sårbarheter på den populære plattformen Device42 kan utnyttes for å gi angripere full root-tilgang til systemet, ifølge Bitdefender.
Ved å utnytte en sårbarhet for ekstern kjøring av kode (RCE) i iscenesettelsesforekomsten av plattformen, kunne angripere oppnå full root-tilgang og få full kontroll over eiendelene som ligger inne, Bitdefender skrev forskere i rapporten. RCE-sårbarheten (CVE-2022-1399) har en grunnscore på 9.1 av 10 og er vurdert som «kritisk», forklarer Bogdan Botezatu, direktør for trusselforskning og rapportering i Bitdefender.
"Ved å utnytte disse problemene kan en angriper utgi seg for andre brukere, få tilgang på administratornivå i applikasjonen (ved å lekke økt med en LFI) eller få full tilgang til enhetsfilene og databasen (gjennom ekstern kjøring av kode)," bemerket rapporten.
RCE-sårbarheter lar angripere manipulere plattformen for å kjøre uautorisert kode som root – det kraftigste tilgangsnivået på en enhet. Slik kode kan kompromittere applikasjonen så vel som det virtuelle miljøet appen kjører på.
For å komme til sikkerhetsproblemet med ekstern kjøring av kode, må en angriper som ikke har tillatelser på plattformen (som en vanlig ansatt utenfor IT- og servicedesk-teamene) først omgå autentisering og få tilgang til plattformen.
Kjede feil i angrep
Dette kan gjøres mulig gjennom en annen sårbarhet beskrevet i papiret, CVE-2022-1401, som lar alle på nettverket lese innholdet i flere sensitive filer i Device42-enheten.
Filen som holder øktnøklene er kryptert, men en annen sårbarhet som finnes i enheten (CVE-2022-1400) hjelper en angriper med å hente dekrypteringsnøkkelen som er hardkodet i appen.
"Daisy-chain-prosessen vil se slik ut: en uprivilegert, uautentisert angriper på nettverket vil først bruke CVE-2022-1401 for å hente den krypterte økten til en allerede autentisert bruker," sier Botezatu.
Denne krypterte økten vil bli dekryptert med nøkkelen hardkodet i enheten, takket være CVE-2022-1400. På dette tidspunktet blir angriperen en autentisert bruker.
"Når de er logget på, kan de bruke CVE-2022-1399 for å kompromittere maskinen fullstendig og få full kontroll over filene og databaseinnholdet, kjøre skadevare og så videre," sier Botezatu. "Slik kan en vanlig ansatt ta full kontroll over apparatet og hemmelighetene som er lagret inni det, ved å koble de beskrevne sårbarhetene sammen."
Han legger til at disse sårbarhetene kan oppdages ved å kjøre en grundig sikkerhetsrevisjon for applikasjoner som er i ferd med å bli distribuert på tvers av en organisasjon.
"Dessverre krever dette betydelig talent og ekspertise for å være tilgjengelig i hus eller på kontrakt," sier han. "En del av oppdraget vårt for å holde kundene trygge er å identifisere sårbarheter i applikasjoner og IoT-enheter, og deretter ansvarlig avsløre funnene våre til de berørte leverandørene slik at de kan jobbe med rettelser."
Disse sårbarhetene har blitt løst. Bitdefender mottok versjon 18.01.00 før offentlig utgivelse og var i stand til å validere at de fire rapporterte sårbarhetene - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 og CVE-2022-1410 - ikke lenger er til stede. Organisasjoner bør umiddelbart implementere rettelsene, sier han.
Tidligere denne måneden var det en kritisk RCE-feil oppdaget i DrayTek-rutere, som utsatte SMB-er for null-klikk-angrep - hvis det utnyttes, kan det gi hackere full kontroll over enheten, sammen med tilgang til det bredere nettverket.
