En serie sårbarheter på den populära tillgångshanteringsplattformen Device42 skulle kunna utnyttjas för att ge angripare full root-åtkomst till systemet, enligt Bitdefender.
Genom att utnyttja en sårbarhet för fjärrkörning av kod (RCE) i iscensättningsinstansen av plattformen kunde angripare framgångsrikt få full root-åtkomst och få fullständig kontroll över tillgångarna som finns inuti, Bitdefender skrev forskare i rapporten. RCE-sårbarheten (CVE-2022-1399) har en baspoäng på 9.1 av 10 och är klassad som "kritisk", förklarar Bogdan Botezatu, chef för hotforskning och rapportering på Bitdefender.
"Genom att utnyttja dessa problem kan en angripare utge sig för att vara andra användare, få åtkomst på administratörsnivå i applikationen (genom att läcka session med en LFI) eller få full åtkomst till apparatfilerna och databasen (genom fjärrkörning av kod)", noterade rapporten.
RCE-sårbarheter tillåter angripare att manipulera plattformen för att exekvera obehörig kod som root – den mest kraftfulla åtkomstnivån på en enhet. Sådan kod kan äventyra applikationen såväl som den virtuella miljön som appen körs på.
För att komma till sårbarheten för fjärrkörning av kod måste en angripare som inte har några behörigheter på plattformen (som en vanlig anställd utanför IT- och servicedesk-teamen) först kringgå autentisering och få åtkomst till plattformen.
Kedjebrister i attacker
Detta kan göras möjligt genom en annan sårbarhet som beskrivs i tidningen, CVE-2022-1401, som låter vem som helst i nätverket läsa innehållet i flera känsliga filer i Device42-enheten.
Filen som innehåller sessionsnycklar är krypterade, men en annan sårbarhet som finns i enheten (CVE-2022-1400) hjälper en angripare att hämta dekrypteringsnyckeln som är hårdkodad i appen.
"Daisy-chain-processen skulle se ut så här: en oprivilegierad, oautentiserad angripare på nätverket skulle först använda CVE-2022-1401 för att hämta den krypterade sessionen för en redan autentiserad användare," säger Botezatu.
Denna krypterade session kommer att dekrypteras med nyckeln hårdkodad i enheten, tack vare CVE-2022-1400. Vid denna tidpunkt blir angriparen en autentiserad användare.
"När de väl är inloggade kan de använda CVE-2022-1399 för att fullständigt kompromissa med maskinen och få fullständig kontroll över filerna och databasinnehållet, köra skadlig programvara och så vidare", säger Botezatu. "Det är så här, genom att koppla ihop de beskrivna sårbarheterna, kan en vanlig anställd ta full kontroll över apparaten och de hemligheter som finns lagrade i den."
Han tillägger att dessa sårbarheter kan upptäckas genom att köra en grundlig säkerhetsgranskning för applikationer som är på väg att distribueras i en organisation.
"Tyvärr kräver detta betydande talang och expertis för att vara tillgänglig i huset eller på kontrakt", säger han. "En del av vårt uppdrag att hålla kunderna säkra är att identifiera sårbarheter i applikationer och IoT-enheter och sedan ansvarsfullt avslöja våra resultat för de berörda leverantörerna så att de kan arbeta med korrigeringar."
Dessa sårbarheter har åtgärdats. Bitdefender fick version 18.01.00 före offentlig utgivning och kunde validera att de fyra rapporterade sårbarheterna - CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 och CVE-2022-1410 - inte längre finns. Organisationer bör omedelbart distribuera korrigeringarna, säger han.
Tidigare denna månad var ett kritiskt RCE-fel upptäckt i DrayTek-routrar, som exponerade små och medelstora företag för nollklicksattacker - om det utnyttjas kan det ge hackare fullständig kontroll över enheten, tillsammans med tillgång till det bredare nätverket.
