Las vulnerabilidades críticas de Filewave MDM permiten a los atacantes un manage total de los dispositivos móviles



Dos vulnerabilidades en el sistema de administración de dispositivos móviles (MDM) multiplataforma de FileWave habrían permitido a los actores maliciosos eludir los mecanismos de autenticación, tomando el handle de la plataforma y los dispositivos vinculados a ella.

La plataforma MDM de FileWave permite a los administradores enviar actualizaciones de computer software a los dispositivos, bloquearlos o incluso borrarlos de forma remota.

Un informe de Staff82 de Claroty analiza más de cerca CVE-2022-34907, una falla de omisión de autenticación, y CVE-2022-34906, una clave criptográfica codificada, vulnerabilidades que Filewave solucionó con una actualización reciente.

Según el informe, los investigadores descubrieron más de 1100 instancias diferentes de servidores FileWave MDM vulnerables con acceso a Internet en múltiples industrias, incluidas grandes empresas, educación y agencias gubernamentales.

Servidor world-wide-web de administración MDM con errores

El servidor internet MDM de la plataforma, escrito en Python, es un componente clave que permite al administrador interactuar con los dispositivos y recibir información de ellos.

«Dado que este servicio debe ser accesible para dispositivos móviles en todo momento, generalmente está expuesto a Internet y maneja las solicitudes de los clientes y los administradores», según el informe. «Su conectividad lo convierte en un objetivo principal en nuestra investigación sobre esta plataforma».

Uno de los servicios de again-stop en el servidor, el servicio de programador, que programa y ejecuta tareas específicas requeridas por la plataforma MDM, utiliza una función secreta compartida codificada para otorgar acceso a la cuenta de «superusuario», el usuario con más privilegios de la plataforma. .

«Si conocemos el secreto compartido y lo proporcionamos en la solicitud, no necesitamos proporcionar un token de usuario válido ni conocer el nombre de usuario y la contraseña del usuario», dice el informe.

Además, al explotar la vulnerabilidad de omisión de autenticación, el equipo pudo lograr el acceso de super_usuario y tomar el regulate overall sobre cualquier instancia de MDM conectada a World-wide-web.

En un exploit de prueba de concepto, el equipo pudo enviar un paquete malicioso a todos los dispositivos del sistema y luego ejecutar un código remoto para instalar ransomware falso en todos ellos.

«Este exploit, si se united states malintencionadamente, podría permitir que los atacantes remotos ataquen e infecten fácilmente todas las instancias accesibles a Online administradas por FileWave MDM,… permitiendo a los atacantes controlar todos los dispositivos administrados, obteniendo acceso a las redes domésticas personales de los usuarios, organizaciones redes internas y mucho más», según el informe del lunes.

Los usuarios deben aplicar los parches tan pronto como sea posible para evitar ser víctima de un ataque, advierten los investigadores.

Aumentan los ataques a los endpoints

Ha habido un aumento en los ataques contra los productos de gestión de puntos finales en los últimos años, incluido uno de los ataques de más alto perfil dirigido a Kaseya VSA.

En ese ataque, la automatización permitió que un afiliado de la pandilla de ransomware REvil pasara de la explotación de servidores vulnerables a la instalación de ransomware en clientes intermedios más rápido de lo que la mayoría de los defensores podrían reaccionar.

Si bien los ataques móviles han estado ocurriendo durante años, la amenaza está evolucionando rápidamente hacia familias de malware sofisticadas con características novedosas, y los atacantes implementan malware con capacidades de acceso remoto completo, diseño modular y características similares a las de los gusanos que representan amenazas significativas para los usuarios y sus organizaciones.

Mientras tanto, una encuesta publicada a principios de este mes por Adaptiva y Ponemon Institute reveló que la empresa promedio ahora administra aproximadamente 135,000 dispositivos de punto final, una superficie de ataque que prolifera rápidamente.

Zero Have faith in refuerza la protección de endpoints

Las organizaciones pueden mejorar la gestión de puntos finales mediante la implementación de políticas de confianza cero para un mayor control y el uso de herramientas MDM y de seguridad BYOD (traiga su propio dispositivo). Pero también deben tomar medidas proactivas, como mantener las aplicaciones actualizadas y capacitar al own para mantener seguros los datos confidenciales de la empresa y los dispositivos de los empleados.

Además, Claroty señala que la creación de claves temporales que no se almacenan en repositorios centrales y que caducan automáticamente podría mejorar la seguridad de los terminales y MDM, incluso para las pequeñas empresas.



Enlace a la noticia original