Vulnerabilități multiple descoperite în dispozitivul Device42 Asset Management Appliance

Potrivit Bitdefender, o serie de vulnerabilități de pe populara platformă de gestionare a activelor Device42 ar putea fi exploatată pentru a oferi atacatorilor acces complet root la sistem.

Prin exploatarea unei vulnerabilități de execuție a codului de la distanță (RCE) în instanța de instalare a platformei, atacatorii ar putea obține cu succes acces complet la rădăcină și pot obține control complet asupra activelor găzduite în interior, Bitdefender au scris cercetătorii în raport. Vulnerabilitatea RCE (CVE-2022-1399) are un scor de bază de 9.1 din 10 și este evaluată „critică”, explică Bogdan Botezatu, director de cercetare și raportare a amenințărilor la Bitdefender.

„Prin exploatarea acestor probleme, un atacator ar putea uzurpa identitatea altor utilizatori, să obțină acces la nivel de administrator în aplicație (prin scurgeri de sesiune cu un LFI) sau să obțină acces deplin la fișierele și baza de date a dispozitivului (prin executarea codului de la distanță)”, se arată în raport.

Vulnerabilitățile RCE permit atacatorilor să manipuleze platforma pentru a executa cod neautorizat ca root - cel mai puternic nivel de acces pe un dispozitiv. Un astfel de cod poate compromite aplicația, precum și mediul virtual în care rulează aplicația.

Pentru a ajunge la vulnerabilitatea de execuție a codului de la distanță, un atacator care nu are permisiuni pe platformă (cum ar fi un angajat obișnuit din afara echipelor IT și biroului de service) trebuie să ocolească mai întâi autentificarea și să obțină acces la platformă.

Înlănțuirea defectelor în atacuri

Acest lucru poate fi posibil printr-o altă vulnerabilitate descrisă în lucrare, CVE-2022-1401, care permite oricui din rețea să citească conținutul mai multor fișiere sensibile din dispozitivul Device42.

Fișierul care conține cheile de sesiune sunt criptate, dar o altă vulnerabilitate prezentă în dispozitiv (CVE-2022-1400) ajută un atacator să recupereze cheia de decriptare care este codificată în aplicație.

„Procesul în lanț ar arăta astfel: un atacator neprivilegiat și neautentificat din rețea ar folosi mai întâi CVE-2022-1401 pentru a prelua sesiunea criptată a unui utilizator deja autentificat”, spune Botezatu.

Această sesiune criptată va fi decriptată cu cheia codificată în dispozitiv, datorită CVE-2022-1400. În acest moment, atacatorul devine un utilizator autentificat.

„Odată conectați, aceștia pot folosi CVE-2022-1399 pentru a compromite complet mașina și pentru a obține controlul complet asupra fișierelor și a conținutului bazei de date, pentru a executa malware și așa mai departe”, spune Botezatu. „Așa este modul în care, prin conectarea în lanț a vulnerabilităților descrise, un angajat obișnuit poate prelua controlul deplin asupra aparatului și a secretelor stocate în interiorul acestuia.”

El adaugă că aceste vulnerabilități pot fi descoperite prin desfășurarea unui audit de securitate amănunțit pentru aplicațiile care urmează să fie implementate într-o organizație.

„Din păcate, acest lucru necesită talent și expertiză semnificative pentru a fi disponibile în casă sau prin contract”, spune el. „O parte a misiunii noastre de a menține clienții în siguranță este să identificăm vulnerabilitățile din aplicații și dispozitive IoT, iar apoi să dezvăluim responsabil descoperirile noastre furnizorilor afectați, astfel încât aceștia să poată lucra la remedieri.”

Aceste vulnerabilități au fost abordate. Bitdefender a primit versiunea 18.01.00 înainte de lansarea publică și a putut să valideze că cele patru vulnerabilități raportate — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 și CVE-2022-1410 — nu mai sunt prezente. Organizațiile ar trebui să implementeze imediat remediile, spune el.

La începutul acestei luni, a fost o eroare RCE critică a descoperit în routerele DrayTek, care au expus IMM-urile la atacuri fără clic - dacă ar fi exploatat, ar putea oferi hackerilor control complet asupra dispozitivului, împreună cu acces la o rețea mai largă.