Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad graves en la plataforma de gestión de activos Dispositivo42 que, si se explota con éxito, podría permitir que un actor malicioso tome el control de los sistemas afectados.
«Al explotar estos problemas, un atacante podría hacerse pasar por otros usuarios, obtener acceso de nivel de administrador en la aplicación (filtrando la sesión con un LFI) u obtenga acceso completo a los archivos y la base de datos del dispositivo (a través de la ejecución remota de código),» Bitdefender dijo en un informe del miércoles.
Aún más preocupante, un adversario con cualquier nivel de acceso dentro de la red host podría conectar en cadena tres de las fallas para eludir las protecciones de autenticación y lograr la ejecución remota de código con los privilegios más altos.
Los problemas en cuestión se enumeran a continuación:
- CVE-2022-1399 – Ejecución remota de código en el componente de tareas programadas
- CVE-2022-1400 – Clave de cifrado codificada IV en Exago WebReportsApi.dll
- CVE 2022-1401 – Validación insuficiente de las rutas proporcionadas en Exago
- CVE-2022-1410 – Ejecución remota de código en la consola de ApplianceManager
La debilidad más crítica es CVE-2022-1399, que permite ejecutar instrucciones bash a través de la inyección de comandos y con permisos de root, otorgando al atacante control total sobre el dispositivo subyacente.
Aunque la ejecución remota de código no se puede lograr por sí sola, se puede combinar con CVE 2022-1401 y CVE-2022-1400 para extraer identificadores de sesión válidos de usuarios ya autenticados aprovechando un inclusión de archivos locales vulnerabilidad descubierta en el componente de informes de Exago.
Tras la divulgación responsable por parte de la empresa de ciberseguridad rumana el 18 de febrero, Device42 abordó las fallas en versión 18.01.00 lanzado el 7 de julio de 2022.