据 Bitdefender 称,流行的资产管理平台 Device42 上的一系列漏洞可被利用,使攻击者可以完全访问系统。
通过利用平台暂存实例中的远程代码执行 (RCE) 漏洞,攻击者可以成功获得完整的 root 访问权限并获得对 Bitdefender 内部资产的完全控制权 研究人员在报告中写道. Bitdefender 威胁研究和报告主管 Bogdan Botezatu 解释说,RCE 漏洞 (CVE-2022-1399) 的基本得分为 9.1 分(满分 10 分),被评为“严重”。
“通过利用这些问题,攻击者可以冒充其他用户,在应用程序中获得管理员级别的访问权限(通过泄露与 LFI 的会话)或获得对设备文件和数据库的完全访问权限(通过远程代码执行),”报告指出。
RCE 漏洞允许攻击者操纵平台以 root 身份执行未经授权的代码——设备上最强大的访问级别。 此类代码可能会危及应用程序以及运行应用程序的虚拟环境。
要获得远程代码执行漏洞,对平台没有权限的攻击者(例如 IT 和服务台团队之外的普通员工)需要首先绕过身份验证并获得对平台的访问权限。
攻击中的链接漏洞
这可以通过论文中描述的另一个漏洞 CVE-2022-1401 来实现,该漏洞允许网络上的任何人读取 Device42 设备中多个敏感文件的内容。
保存会话密钥的文件已加密,但设备中存在的另一个漏洞 (CVE-2022-1400) 可帮助攻击者检索在应用程序中硬编码的解密密钥。
“菊花链过程看起来像这样:网络上的无特权、未经身份验证的攻击者将首先使用 CVE-2022-1401 来获取已通过身份验证的用户的加密会话,”Botezatu 说。
由于存在 CVE-2022-1400,此加密会话将使用设备中硬编码的密钥进行解密。 此时,攻击者成为经过身份验证的用户。
“一旦登录,他们就可以使用 CVE-2022-1399 完全破坏机器并获得对文件和数据库内容的完全控制,执行恶意软件等,”Botezatu 说。 “这就是通过菊花链式连接所描述的漏洞,普通员工可以完全控制设备和存储在其中的秘密的方式。”
他补充说,可以通过对将要在整个组织中部署的应用程序进行彻底的安全审计来发现这些漏洞。
“不幸的是,这需要大量的人才和专业知识才能在内部或合同中提供,”他说。 “我们确保客户安全的部分使命是识别应用程序和物联网设备中的漏洞,然后负责任地向受影响的供应商披露我们的调查结果,以便他们能够进行修复。”
这些漏洞已得到解决。 Bitdefender 在公开发布之前收到了 18.01.00 版本,并且能够验证报告的四个漏洞——CVE-2022-1399、CVE-2022-1400、CVE 2022-1401 和 CVE-2022-1410——不再存在。 他说,组织应立即部署修复程序。
本月早些时候,一个严重的 RCE 错误是 发现 在 DrayTek 路由器中,使 SMB 遭受零点击攻击——如果被利用,它可以让黑客完全控制设备,以及访问更广泛的网络。
