Múltiples vulnerabilidades descubiertas en el dispositivo de gestión de activos Machine42



Según Bitdefender, se podría explotar una serie de vulnerabilidades en la well-liked plataforma de gestión de activos Device42 para dar a los atacantes acceso completo al sistema.

Al explotar una vulnerabilidad de ejecución remota de código (RCE) en la instancia de prueba de la plataforma, los atacantes podrían obtener con éxito acceso completo a la raíz y obtener el management completo de los activos alojados en su inside, Bitdefender investigadores escribieron en el informe. La vulnerabilidad RCE (CVE-2022-1399) tiene una puntuación base de 9,1 sobre 10 y está clasificada como «crítica», explica Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

«Al explotar estos problemas, un atacante podría hacerse pasar por otros usuarios, obtener acceso de nivel de administrador en la aplicación (filtrando la sesión con un LFI) u obtener acceso completo a los archivos y la base de datos del dispositivo (a través de la ejecución remota de código)», señaló el informe.

Las vulnerabilidades de RCE permiten a los atacantes manipular la plataforma para ejecutar código no autorizado como root, el nivel de acceso más poderoso en un dispositivo. Dicho código puede comprometer la aplicación, así como el entorno virtual en el que se ejecuta la aplicación.

Para llegar a la vulnerabilidad de ejecución remota de código, un atacante que no tiene permisos en la plataforma (como un empleado frequent fuera de los equipos de TI y de la mesa de servicio) primero debe eludir la autenticación y obtener acceso a la plataforma.

Encadenamiento de fallas en los ataques

Esto puede ser posible a través de otra vulnerabilidad descrita en el documento, CVE-2022-1401, que permite que cualquier persona en la pink lea el contenido de varios archivos confidenciales en el dispositivo Product42.

El archivo que contiene las claves de sesión está encriptado, pero otra vulnerabilidad presente en el dispositivo (CVE-2022-1400) ayuda a un atacante a recuperar la clave de descifrado que está codificada en la aplicación.

«El proceso de conexión en cadena se vería así: un atacante no autenticado y sin privilegios en la crimson primero usaría CVE-2022-1401 para obtener la sesión cifrada de un usuario ya autenticado», dice Botezatu.

Esta sesión cifrada se descifrará con la clave codificada en el dispositivo, gracias a CVE-2022-1400. En este punto, el atacante se convierte en un usuario autenticado.

«Una vez que inician sesión, pueden usar CVE-2022-1399 para comprometer completamente la máquina y obtener un management completo de los archivos y el contenido de la base de datos, ejecutar malware, and so forth.», dice Botezatu. «Así es como, al conectar en cadena las vulnerabilidades descritas, un empleado common puede tomar el control complete del dispositivo y los secretos almacenados en él».

Agrega que estas vulnerabilidades se pueden descubrir ejecutando una auditoría de seguridad exhaustiva para las aplicaciones que están a punto de implementarse en una organización.

«Lamentablemente, esto requiere contar con un talento y una experiencia significativos para estar disponibles internamente o bajo contrato», dice. «Parte de nuestra misión de mantener seguros a los clientes es identificar vulnerabilidades en aplicaciones y dispositivos IoT, y luego divulgar de manera responsable nuestros hallazgos a los proveedores afectados para que puedan trabajar en las soluciones».

Estas vulnerabilidades han sido abordadas. Bitdefender recibió la versión 18.01.00 antes del lanzamiento público y pudo validar que las cuatro vulnerabilidades informadas (CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 y CVE-2022-1410) ya no están presentes. Las organizaciones deberían implementar inmediatamente las correcciones, dice.

A principios de este mes, se descubrió un mistake crítico de RCE en los enrutadores DrayTek, que expuso a las PYMES a ataques de clic cero si se explota, podría dar a los piratas informáticos el management completo del dispositivo, junto con el acceso a la crimson más amplia.



Enlace a la noticia primary