Według Bitdefender, seria luk w popularnej platformie zarządzania zasobami Device42 może zostać wykorzystana do zapewnienia atakującym pełnego dostępu do systemu jako root.
Wykorzystując lukę w zdalnym wykonaniu kodu (RCE) w tymczasowej instancji platformy, osoby atakujące mogą z powodzeniem uzyskać pełny dostęp do roota i uzyskać pełną kontrolę nad zasobami znajdującymi się w środku, Bitdefender badacze napisali w raporcie. Luka RCE (CVE-2022-1399) ma bazowy wynik 9.1 na 10 i jest oceniana jako „krytyczna” – wyjaśnia Bogdan Botezatu, dyrektor ds. badań i raportowania zagrożeń w Bitdefender.
„Wykorzystując te problemy, osoba atakująca może podszywać się pod innych użytkowników, uzyskać dostęp do aplikacji na poziomie administratora (poprzez wyciek sesji z LFI) lub uzyskać pełny dostęp do plików urządzenia i bazy danych (poprzez zdalne wykonanie kodu)” – czytamy w raporcie.
Luki w zabezpieczeniach RCE umożliwiają atakującym manipulowanie platformą w celu wykonania nieautoryzowanego kodu jako root — najpotężniejszy poziom dostępu na urządzeniu. Taki kod może narazić aplikację, a także środowisko wirtualne, na którym działa aplikacja.
Aby uzyskać dostęp do luki umożliwiającej zdalne wykonanie kodu, osoba atakująca, która nie ma uprawnień na platformie (np. zwykły pracownik spoza zespołów IT i działu obsługi), musi najpierw ominąć uwierzytelnianie i uzyskać dostęp do platformy.
Łączenie wad w atakach
Jest to możliwe dzięki innej luce opisanej w artykule, CVE-2022-1401, która pozwala każdemu w sieci odczytać zawartość kilku wrażliwych plików w urządzeniu Device42.
Pliki zawierające klucze sesji są zaszyfrowane, ale inna luka w urządzeniu (CVE-2022-1400) pomaga osobie atakującej odzyskać klucz odszyfrowywania zakodowany w aplikacji.
„Proces łączenia łańcuchowego wyglądałby tak: nieuprzywilejowany, nieuwierzytelniony atakujący w sieci najpierw użyłby CVE-2022-1401 do pobrania zaszyfrowanej sesji już uwierzytelnionego użytkownika” – mówi Botezatu.
Ta zaszyfrowana sesja zostanie odszyfrowana za pomocą klucza zakodowanego na stałe w urządzeniu dzięki CVE-2022-1400. W tym momencie atakujący staje się uwierzytelnionym użytkownikiem.
„Po zalogowaniu mogą użyć CVE-2022-1399, aby w pełni zhakować maszynę i uzyskać pełną kontrolę nad plikami i zawartością bazy danych, uruchamiać złośliwe oprogramowanie i tak dalej”, mówi Botezatu. „W ten sposób, poprzez połączenie łańcuchowe opisanych luk w zabezpieczeniach, zwykły pracownik może przejąć pełną kontrolę nad urządzeniem i przechowywanymi w nim sekretami”.
Dodaje, że te luki można wykryć, przeprowadzając dokładny audyt bezpieczeństwa aplikacji, które mają zostać wdrożone w całej organizacji.
„Niestety wymaga to dużego talentu i wiedzy, aby był dostępny w firmie lub na podstawie umowy”, mówi. „Częścią naszej misji, aby zapewnić klientom bezpieczeństwo, jest identyfikacja luk w zabezpieczeniach aplikacji i urządzeń IoT, a następnie odpowiedzialne ujawnianie naszych ustaleń dostawcom, których dotyczy problem, aby mogli pracować nad poprawkami”.
Te luki zostały usunięte. Bitdefender otrzymał wersję 18.01.00 przed publicznym wydaniem i był w stanie potwierdzić, że cztery zgłoszone luki w zabezpieczeniach — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 i CVE-2022-1410 — już nie są obecne. Organizacje powinny natychmiast wdrożyć poprawki, mówi.
Na początku tego miesiąca krytyczny błąd RCE był odkryty w routerach DrayTek, które narażały małe i średnie firmy na ataki typu zero-click — jeśli zostaną wykorzystane, mogą dać hakerom pełną kontrolę nad urządzeniem, wraz z dostępem do szerszej sieci.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
