Kullanıcıların ‘büyük çoğunluğu’, satıcı uyarıları sayesinde sistemleri güncelledi
Güvenlik araştırmacıları, FileWave’in mobil cihaz yönetimi (MDM) platformundaki güvenlik açıklarının, saldırganların savunmasız örneklerin ve tüm yönetilen cihazlarının kontrolünü ele geçirmesine olanak tanıyabileceği konusunda uyarıyor.
FileWave MDM, BT yöneticilerinin bir kuruluşun dizüstü bilgisayarlarını, iş istasyonlarını, akıllı telefonlarını, tabletlerini ve diğer akıllı cihazlarını yönetmesine ve izlemesine olanak tanır.
Endüstriyel siber güvenlik firması Claroty tarafından ortaya çıkarılan yazılımda bir çift kritik kimlik doğrulama atlaması, dün yayınlanan bir blog gönderisine göre, düşman aktörlerin en yüksek idari ayrıcalıkları kazanabileceği ve “kullanıcıların kişisel ev ağlarına, kuruluşların iç ağlarına ve çok daha fazlasına” erişebileceği anlamına geliyor. (25 Temmuz) Claroty güvenlik açığı araştırmacısı Noam Moshe tarafından.
ÖNERİLEN Bulut faks şirketi, sağlık uzmanlarının ‘daha güvenli’ faks için e-postayı terk ettiğini iddia ediyor
Saldırganlar tarafından tutulan tüm hassas verileri sızdırabilir. [compromised] kullanıcı adları, e-posta adresleri, IP adresleri, coğrafi konum vb. dahil olmak üzere cihazlar ve yönetilen cihazlara kötü amaçlı yazılımlar yükleyin” diye ekledi. Claroty’nin kavram kanıtı istismarı, sahte fidye yazılımının yüklenmesini içeriyordu.
Kullanıcılardan en son yazılım güncellemesini uygulamaları istendi.
Claroty’s Team82’den araştırmacılar, örneğin devlet kurumları ve eğitim kurumları da dahil olmak üzere çeşitli büyüklükteki kuruluşlar tarafından işletilen 1.100’den fazla savunmasız FileWave MDM örneği keşfettiklerini söyledi.
Ancak, sistemlerin “büyük çoğunluğu” “güncel olarak doğrulanmıştır”. Team82, FileWave’i “bu güvenlik açıklarını hızla düzelttiği” ve kullanıcıları bilgilendirdiği için övdü.
Sabit kodlanmış paylaşılan sır
Araştırmacılar, Moshe’nin F5’in BIG-IP ağ yazılımında binlerce kullanıcıyı potansiyel olarak açığa çıkaran yakın tarihli bir güvenlik açığına benzettiği ikinci bir baypas (CVE-2022-34907) bulmadan önce, ilk olarak sabit kodlanmış bir şifreleme anahtarı güvenlik açığını (CVE-2022-34906) ortaya çıkardı. uzaktan devralmak için.
İlk atlama, web sunucusunda kimlik doğrulaması yapmak için görev zamanlayıcı hizmeti tarafından kullanılan, sabit kodlanmış paylaşılan bir sırla ilgiliydi.
Moshe, geçerli kimlik doğrulaması gerektiren her yolun sınıfı (veya bu sınıfı kendisi miras alan herhangi bir sınıfı) devralması gerektiğini belirtti.
“Bu kontrol, işlevin içinde gerçekleştirilir, bu işlev dönerse istek yerine getirilir ve bu işlev dönerse, bir 401 Yetkisiz döndürülür” dedi.
En son siber güvenlik araştırma haberlerini ve analizlerini okuyun
İşlev, HTTP isteğinden yetkilendirme başlığını alır, bunu base64 kodu çözülmüş zamanlayıcı sırrıyla karşılaştırır ve eğer eşleşirlerse, isteğe izin verilir.
Moshe, “Bu, paylaşılan sırrı biliyorsak ve bunu talepte sağlarsak, geçerli bir kullanıcı belirteci sağlamamıza veya kullanıcının kullanıcı adını ve şifresini bilmemize gerek olmadığı anlamına gelir” diye açıkladı.
İkinci baypas
Bu güvenlik açığı yalnızca, içerideki mantık değiştirildiğinde, yetkilendirme üstbilgisini zamanlayıcı sırrıyla karşılaştırmak yerine, yalnızca geçerli kullanıcıların belirteçlerini kabul edecek şekilde değiştirildiğinde, FileWave sürüm 13.1.3’e kadar çalıştı.
Ancak Team82, yetkilendirme başlığını zamanlayıcı sırrıyla karşılaştıran bir ara katman yazılımının eklendiğini de keşfetti. Ancak, yeniden ayrıcalıklar elde etmek için localhost’a kıyasla yeni bir kontrolü atlamaları gerekecekti.
Neyse ki, Python’da web sunucusunu kodlamak için kullanılan Django’dan alınan belgeler, üstbilgiyi localhost olarak ayarlayarak bunun başarılabileceğini gösterdi.
Bugüne kadar istismar yok
FileWave, kullanıcıları her iki baypasa karşı koruyan 14.6.3, 14.7.2 ve 14.8 sürümlerinde ikinci kusuru ele aldı.
Satıcı, 26 Nisan’da etkilenen kullanıcıları güvenlik açıkları ve yamalı sürümlerin kullanılabilirliği konusunda bilgilendirdiğini söyledi.
Bugün (26 Temmuz) yayınlanan bir basın bülteninde ayrıca şunları söyledi: “Yamalı yazılım sürümlerinin uygulanması, güvenlik açıklarının üçüncü taraf saldırıları tarafından istismar edilme riskini ortadan kaldırmalıydı. Güvenlik açıklarının tanımlanmasından bu yana, FileWave tarafından bugüne kadar bilinen herhangi bir gerçek istismar olmadı. Yine de, FileWave Hizmetleri kullanıcılarının, ileride üçüncü taraf saldırıları riskini önlemek için güvenlik güncellemesinin doğru şekilde yüklenip güncellenmediğini iki kez kontrol etmelerini öneririz.”
Noam Moshe anlattı Günlük Swig: “Çok sayıda XIoT ile [extended IoT] BT yöneticilerinin her şeyi etkin bir şekilde yönetebilmeleri için her tür kuruluşta bir MDM çözümü kullanmak çok yaygındır.
“CVE-2022-34907 gibi kimlik doğrulama atlama güvenlik açıkları maalesef birçok insanın düşündüğünden daha yaygın” diye ekledi. “Bilgimizi paylaşarak, bu tür güvenlik açıkları hakkında farkındalık yaratmayı umuyoruz, böylece dünya çapında kullanılmadan önce ortadan kaldırılabilirler.”
BUNU DA BEĞENEBİLİRSİN Düşman saldırıları, DNS amplifikasyonuna neden olabilir, ağ savunma sistemlerini kandırabilir, makine öğrenimi araştırması bulguları