В устройстве управления активами Device42 обнаружено несколько уязвимостей

По данным Bitdefender, ряд уязвимостей в популярной платформе управления активами Device42 может быть использован для предоставления злоумышленникам полного root-доступа к системе.

Используя уязвимость удаленного выполнения кода (RCE) в промежуточном экземпляре платформы, злоумышленники могут успешно получить полный root-доступ и получить полный контроль над активами, размещенными внутри, Bitdefender исследователи написали в отчете. Уязвимость RCE (CVE-2022-1399) имеет базовую оценку 9.1 из 10 и оценивается как «критическая», объясняет Богдан Ботезату, директор по исследованию угроз и отчетности в Bitdefender.

«Используя эти проблемы, злоумышленник может выдать себя за других пользователей, получить доступ на уровне администратора в приложении (путем утечки сеанса с LFI) или получить полный доступ к файлам и базе данных устройства (через удаленное выполнение кода)», — отмечается в отчете.

Уязвимости RCE позволяют злоумышленникам манипулировать платформой для выполнения несанкционированного кода с правами суперпользователя — самого мощного уровня доступа на устройстве. Такой код может поставить под угрозу как приложение, так и виртуальную среду, в которой работает приложение.

Чтобы добраться до уязвимости, связанной с удаленным выполнением кода, злоумышленнику, не имеющему разрешений на платформе (например, обычному сотруднику вне ИТ-отдела и службы поддержки), необходимо сначала обойти аутентификацию и получить доступ к платформе.

Цепочка недостатков в атаках

Это стало возможным благодаря другой уязвимости, описанной в документе, CVE-2022-1401, которая позволяет любому пользователю в сети читать содержимое нескольких конфиденциальных файлов в устройстве Device42.

Файл, содержащий сеансовые ключи, зашифрован, но другая уязвимость, присутствующая в устройстве (CVE-2022-1400), помогает злоумышленнику получить ключ дешифрования, который жестко запрограммирован в приложении.

«Процесс гирляндной цепочки будет выглядеть следующим образом: непривилегированный злоумышленник в сети, не прошедший проверку подлинности, сначала использует CVE-2022-1401 для получения зашифрованного сеанса уже аутентифицированного пользователя», — говорит Ботезату.

Этот зашифрованный сеанс будет расшифрован с помощью ключа, жестко запрограммированного в устройстве, благодаря CVE-2022-1400. В этот момент злоумышленник становится аутентифицированным пользователем.

«После входа в систему они могут использовать CVE-2022-1399, чтобы полностью скомпрометировать машину и получить полный контроль над файлами и содержимым базы данных, запустить вредоносное ПО и так далее», — говорит Ботезату. «Вот как, последовательно соединяя описанные уязвимости, обычный сотрудник может получить полный контроль над устройством и хранящимися в нем секретами».

Он добавляет, что эти уязвимости можно обнаружить, проведя тщательный аудит безопасности для приложений, которые собираются развернуть в организации.

«К сожалению, для этого требуются значительные таланты и опыт, которые должны быть доступны внутри компании или по контракту», — говорит он. «Часть нашей миссии по обеспечению безопасности клиентов заключается в выявлении уязвимостей в приложениях и устройствах IoT, а затем в ответственном раскрытии наших выводов пострадавшим поставщикам, чтобы они могли работать над исправлениями».

Эти уязвимости были устранены. Bitdefender получил версию 18.01.00 перед публичным выпуском и смог подтвердить, что четыре обнаруженные уязвимости — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 и CVE-2022-1410 — больше не присутствуют. По его словам, организациям следует немедленно развернуть исправления.

Ранее в этом месяце была обнаружена критическая ошибка RCE. открытый в маршрутизаторах DrayTek, которые подвергали малые и средние предприятия атакам с нулевым щелчком — в случае их использования хакеры могут получить полный контроль над устройством, а также доступ к более широкой сети.