Bitdefender’a göre, popüler varlık yönetimi platformu Device42’deki bir dizi güvenlik açığı, saldırganların sisteme tam kök erişimi sağlamak için kullanılabilir.
Saldırganlar, platformun hazırlama örneğinde bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanarak, tam kök erişimini başarıyla elde edebilir ve Bitdefender’da barındırılan varlıkların tam denetimini elde edebilir. araştırmacılar raporda yazdı. Bitdefender’da tehdit araştırma ve raporlama direktörü Bogdan Botezatu, RCE güvenlik açığının (CVE-2022-1399) 10 üzerinden 9,1 taban puanına sahip olduğunu ve “kritik” olarak derecelendirildiğini açıklıyor.
Raporda, “Bir saldırgan, bu sorunlardan yararlanarak diğer kullanıcıların kimliğine bürünebilir, uygulamada yönetici düzeyinde erişim elde edebilir (bir LFI ile oturumu sızdırarak) veya cihaz dosyalarına ve veritabanına (uzaktan kod yürütme yoluyla) tam erişim elde edebilir.”
RCE güvenlik açıkları, saldırganların, bir cihazdaki en güçlü erişim düzeyi olan kök olarak yetkisiz kod yürütmek için platformu manipüle etmesine olanak tanır. Bu tür kodlar, uygulamanın yanı sıra uygulamanın üzerinde çalıştığı sanal ortamı tehlikeye atabilir.
Uzaktan kod yürütme güvenlik açığına ulaşmak için, platform üzerinde hiçbir izni olmayan bir saldırganın (BT ve hizmet masası ekiplerinin dışındaki normal bir çalışan gibi) öncelikle kimlik doğrulamasını atlaması ve platforma erişim kazanması gerekir.
Saldırılarda Zincirleme Kusurları
Bu, CVE-2022-1401 belgesinde açıklanan ve ağdaki herkesin Device42 cihazındaki birkaç hassas dosyanın içeriğini okumasına izin veren başka bir güvenlik açığı ile mümkün olabilir.
Oturum anahtarlarını tutan dosya şifrelenir, ancak cihazda bulunan başka bir güvenlik açığı (CVE-2022-1400), bir saldırganın uygulamada sabit kodlanmış şifre çözme anahtarını almasına yardımcı olur.
Botezatu, “Papatya zinciri süreci şöyle görünecektir: ağdaki ayrıcalığı olmayan, kimliği doğrulanmamış bir saldırgan, önce kimliği doğrulanmış bir kullanıcının şifreli oturumunu almak için önce CVE-2022-1401’i kullanır,” diyor.
Bu şifreli oturumun şifresi, CVE-2022-1400 sayesinde cihazda sabit kodlanmış anahtarla çözülecektir. Bu noktada, saldırgan kimliği doğrulanmış bir kullanıcı olur.
Botezatu, “Oturum açıldıktan sonra, CVE-2022-1399’u kullanarak makineyi tamamen tehlikeye atabilir ve dosyaların ve veritabanı içeriğinin tam kontrolünü ele geçirebilir, kötü amaçlı yazılımları çalıştırabilirler,” diyor. “İşte bu şekilde, açıklanan güvenlik açıklarını zincirleme bir şekilde bağlayarak, normal bir çalışan, cihazın ve içinde saklanan sırların tam kontrolünü ele geçirebilir.”
Bu güvenlik açıklarının, bir kuruluşta dağıtılmak üzere olan uygulamalar için kapsamlı bir güvenlik denetimi çalıştırılarak keşfedilebileceğini ekliyor.
“Ne yazık ki, bu, şirket içinde veya sözleşmeli olarak mevcut olmak için önemli yetenek ve uzmanlık gerektiriyor” diyor. “Müşterileri güvende tutma görevimizin bir parçası, uygulamalardaki ve IoT cihazlarındaki güvenlik açıklarını belirlemek ve ardından düzeltmeler üzerinde çalışabilmeleri için bulgularımızı etkilenen satıcılara sorumlu bir şekilde açıklamaktır.”
Bu güvenlik açıkları giderildi. Bitdefender, genel sürümden önce 18.01.00 sürümünü aldı ve bildirilen dört güvenlik açığının (CVE-2022-1399, CVE-2022-1400, CVE 2022-1401 ve CVE-2022-1410) artık mevcut olmadığını doğrulayabildi. Kuruluşların düzeltmeleri derhal dağıtması gerektiğini söylüyor.
Bu ayın başlarında, SMB’leri sıfır tıklama saldırılarına maruz bırakan DrayTek yönlendiricilerinde kritik bir RCE hatası keşfedildi – istismar edilirse, bilgisayar korsanlarına daha geniş ağa erişim ile birlikte cihazın tam kontrolünü verebilir.