Исследователи Bitdefender обнаружили 4 критические уязвимости в ПО Device 42
Успешная эксплуатация этих уязвимостей позволяет злоумышленнику захватить контроль над затронутой системой.
Согласно отчету , опубликованному Bitdefender, использующий эти уязвимости хакер может выдать себя за другого пользователя, получить доступ на уровне администратора в приложении или полный доступ к файлам и базе данных устройства. Экспертов сильно тревожит то, что злоумышленник с любым уровнем доступа в сети жертвы может последовательно использовать каждую уязвимость , чтобы обойти аутентификацию и удаленно выполнить произвольный код с наивысшими привилегиями.
Список всех обнаруженных уязвимостей:
CVE-2022-1401 – Позволяет неавторизованному злоумышленнику получить доступ к файлам сервера с root-правами;
CVE-2022-1400 – Позволяет злоумышленнику дешифровать ключи сессии авторизованного пользователя, используя ключ шифрования Exago и вектор инициализации, которые жестко закодированы в устройстве (WebReportsApi.dll);
CVE-2022-1399 – Позволяет злоумышленнику удаленно выполнить произвольный код во вспомогательном экземпляре платформы.
CVE-2022-1410 – Позволяет злоумышленнику удаленно выполнить произвольный код в компоненте планировщика задач.
Наиболее опасной из всех четырех уязвимостей является CVE-2022-1399, позволяющая выполнять bash-скрипты с помощью инъекции команд и root-прав. Успешная эксплуатация этой уязвимости предоставляет злоумышленнику полный контроль над устройством жертвы.
И хотя само по себе удаленное выполнение кода невозможно, его можно реализовать вместе с CVE 2022-1401 и CVE-2022-1400.
Bitdefender сообщила Device42 об обнаруженных уязвимостях 18 февраля. Все бреши в защите были устранены в версии 18.01.00 , выпущенной 7 июля 2022 года.