Des chercheurs en cybersécurité ont révélé plusieurs vulnérabilités de sécurité graves plateforme de gestion des actifs Appareil42 qui, si elles sont exploitées avec succès, pourraient permettre à un acteur malveillant de prendre le contrôle des systèmes affectés.
« En exploitant ces problèmes, un attaquant pourrait se faire passer pour d’autres utilisateurs, obtenir un accès de niveau administrateur dans l’application (en divulguant une session avec un LFI) ou obtenir un accès complet aux fichiers et à la base de données de l’appliance (via l’exécution de code à distance) », Bitdefender a dit dans un rapport de mercredi.
Plus inquiétant encore, un adversaire avec n’importe quel niveau d’accès au sein du réseau hôte pourrait connecter en chaîne trois des failles pour contourner les protections d’authentification et réaliser l’exécution de code à distance avec les privilèges les plus élevés.
Les problèmes en question sont énumérés ci-dessous –
- CVE-2022-1399 – Exécution de code à distance dans le composant de tâches planifiées
- CVE-2022-1400 – Clé de cryptage codée en dur IV dans Exago WebReportsApi.dll
- CVE 2022-1401 – Validation insuffisante des chemins fournis dans Exago
- CVE-2022-1410 – Exécution de code à distance dans la console ApplianceManager
La plus critique des faiblesses est CVE-2022-1399, qui permet d’exécuter des instructions bash via l’injection de commandes et avec des autorisations root, accordant à l’attaquant un contrôle total sur l’appliance sous-jacente.
Bien que l’exécution de code à distance ne puisse pas être réalisée par elle-même, elle peut être associée à CVE 2022-1401 et CVE-2022-1400 pour extraire les identifiants de session valides des utilisateurs déjà authentifiés en tirant parti d’un inclusion de fichiers locaux vulnérabilité découverte dans le composant de reporting Exago.
Suite à la divulgation responsable de la société roumaine de cybersécurité le 18 février, les failles ont été corrigées par Device42 dans version 18.01.00 sortie le 7 juillet 2022.