За даними Bitdefender, серію вразливостей на популярній платформі керування активами Device42 можна використати, щоб надати зловмисникам повний кореневий доступ до системи.
Використовуючи вразливість віддаленого виконання коду (RCE) у проміжному екземплярі платформи, зловмисники можуть успішно отримати повний кореневий доступ і отримати повний контроль над активами, розміщеними всередині, Bitdefender пишуть дослідники у звіті. «Уразливість RCE (CVE-2022-1399) має базову оцінку 9.1 з 10 і оцінюється як «критична», — пояснює Богдан Ботезату, директор із дослідження загроз і звітності Bitdefender.
«Використовуючи ці проблеми, зловмисник може видати себе за інших користувачів, отримати доступ рівня адміністратора до програми (шляхом витоку сеансу з LFI) або отримати повний доступ до файлів пристрою та бази даних (через віддалене виконання коду)», — зазначається у звіті.
Уразливості RCE дозволяють зловмисникам маніпулювати платформою для виконання несанкціонованого коду від імені root — найпотужнішого рівня доступу на пристрої. Такий код може скомпрометувати програму, а також віртуальне середовище, у якому працює програма.
Щоб отримати доступ до вразливості віддаленого виконання коду, зловмисник, який не має дозволів на платформу (наприклад, звичайний співробітник поза ІТ-командою та відділом обслуговування), повинен спочатку обійти автентифікацію та отримати доступ до платформи.
Ланцюгові недоліки в атаках
Це стало можливим через іншу вразливість, описану в статті, CVE-2022-1401, яка дозволяє будь-кому в мережі читати вміст кількох конфіденційних файлів у пристрої Device42.
Ключі сеансу зберігання файлів зашифровані, але інша вразливість, присутня в пристрої (CVE-2022-1400), допомагає зловмиснику отримати ключ дешифрування, жорстко закодований у програмі.
«Процес послідовного з’єднання виглядатиме так: непривілейований, неавтентифікований зловмисник у мережі спочатку використає CVE-2022-1401, щоб отримати зашифрований сеанс уже аутентифікованого користувача», — каже Ботезату.
Цей зашифрований сеанс буде розшифровано за допомогою ключа, жорстко закодованого в пристрої, завдяки CVE-2022-1400. У цей момент зловмисник стає автентифікованим користувачем.
«Після входу в систему вони можуть використовувати CVE-2022-1399, щоб повністю скомпрометувати машину та отримати повний контроль над файлами та вмістом бази даних, запустити зловмисне програмне забезпечення тощо», — каже Ботезату. «Ось як шляхом послідовного з’єднання описаних вразливостей звичайний співробітник може отримати повний контроль над пристроєм і секретами, що зберігаються в ньому».
Він додає, що ці вразливості можна виявити, провівши ретельний аудит безпеки для програм, які збираються розгорнути в організації.
«На жаль, це потребує значного таланту та досвіду, щоб бути доступними вдома або за контрактом», — каже він. «Частиною нашої місії щодо забезпечення безпеки клієнтів є виявлення вразливостей у програмах і пристроях Інтернету речей, а потім відповідальне розкриття наших висновків відповідним постачальникам, щоб вони могли працювати над виправленнями».
Ці вразливості було усунено. Bitdefender отримав версію 18.01.00 перед публічним випуском і зміг підтвердити, що чотири зареєстровані вразливості — CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 і CVE-2022-1410 — більше не існують. За його словами, організації повинні негайно розгорнути виправлення.
Раніше цього місяця виникла критична помилка RCE відкритий у маршрутизаторах DrayTek, які наражали підприємства малого та середнього бізнесу на атаки з нульовим кліком — у разі використання хакери могли отримати повний контроль над пристроєм разом із доступом до ширшої мережі.