Várias vulnerabilidades descobertas no Device42 Asset Management Appliance

Uma série de vulnerabilidades na popular plataforma de gerenciamento de ativos Device42 pode ser explorada para dar aos invasores acesso root completo ao sistema, de acordo com a Bitdefender.

Ao explorar uma vulnerabilidade de execução remota de código (RCE) na instância de teste da plataforma, os invasores podem obter acesso root completo e obter controle total dos ativos alojados dentro, Bitdefender pesquisadores escreveram no relatório. A vulnerabilidade RCE (CVE-2022-1399) tem uma pontuação básica de 9.1 em 10 e é classificada como “crítica”, explica Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças da Bitdefender.

“Ao explorar esses problemas, um invasor pode se passar por outros usuários, obter acesso de nível de administrador no aplicativo (vazando a sessão com um LFI) ou obter acesso total aos arquivos e banco de dados do dispositivo (por meio da execução remota de código)”, observou o relatório.

As vulnerabilidades do RCE permitem que os invasores manipulem a plataforma para executar código não autorizado como root — o nível de acesso mais poderoso em um dispositivo. Esse código pode comprometer o aplicativo, bem como o ambiente virtual em que o aplicativo está sendo executado.

Para chegar à vulnerabilidade de execução remota de código, um invasor que não tenha permissões na plataforma (como um funcionário regular fora das equipes de TI e da central de atendimento) precisa primeiro ignorar a autenticação e obter acesso à plataforma.

Falhas em cadeia em ataques

Isso pode ser possível por meio de outra vulnerabilidade descrita no documento, CVE-2022-1401, que permite que qualquer pessoa na rede leia o conteúdo de vários arquivos confidenciais no dispositivo Device42.

O arquivo que contém as chaves de sessão são criptografados, mas outra vulnerabilidade presente no dispositivo (CVE-2022-1400) ajuda um invasor a recuperar a chave de descriptografia codificada no aplicativo.

“O processo daisy-chain ficaria assim: um invasor sem privilégios e não autenticado na rede usaria primeiro o CVE-2022-1401 para buscar a sessão criptografada de um usuário já autenticado”, diz Botezatu.

Esta sessão criptografada será descriptografada com a chave codificada no dispositivo, graças ao CVE-2022-1400. Nesse ponto, o invasor se torna um usuário autenticado.

“Uma vez logado, eles podem usar o CVE-2022-1399 para comprometer totalmente a máquina e obter controle total dos arquivos e conteúdo do banco de dados, executar malware e assim por diante”, diz Botezatu. “É assim que, ao encadear as vulnerabilidades descritas, um funcionário comum pode assumir o controle total do dispositivo e dos segredos armazenados nele.”

Ele acrescenta que essas vulnerabilidades podem ser descobertas executando uma auditoria de segurança completa para aplicativos que estão prestes a ser implantados em uma organização.

“Infelizmente, isso exige que talento e experiência significativos estejam disponíveis em casa ou sob contrato”, diz ele. “Parte de nossa missão de manter os clientes seguros é identificar vulnerabilidades em aplicativos e dispositivos de IoT e, em seguida, divulgar nossas descobertas aos fornecedores afetados para que eles possam trabalhar em correções.”

Essas vulnerabilidades foram abordadas. O Bitdefender recebeu a versão 18.01.00 antes do lançamento público e conseguiu validar que as quatro vulnerabilidades relatadas — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 e CVE-2022-1410 — não estão mais presentes. As organizações devem implantar imediatamente as correções, diz ele.

No início deste mês, um bug crítico do RCE foi descoberto nos roteadores DrayTek, que expuseram as pequenas e médias empresas a ataques de clique zero - se explorado, poderia dar aos hackers controle total do dispositivo, juntamente com acesso à rede mais ampla.