Исследователи Bitdefender обнаружили 4 критические уязвимости в ПО Device 42

Согласно отчету, опубликованному Bitdefender, использующий эти уязвимости хакер может выдать себя за другого пользователя, получить доступ на уровне администратора в приложении или полный доступ к файлам и базе данных устройства. Экспертов сильно тревожит то, что злоумышленник с любым уровнем доступа в сети жертвы может последовательно использовать каждую уязвимость, чтобы обойти аутентификацию и удаленно выполнить произвольный код с наивысшими привилегиями.

Список всех обнаруженных уязвимостей:

CVE-2022-1401 – Позволяет неавторизованному злоумышленнику получить доступ к файлам сервера с root-правами;

CVE-2022-1400 – Позволяет злоумышленнику дешифровать ключи сессии авторизованного пользователя, используя ключ шифрования Exago и вектор инициализации, которые жестко закодированы в устройстве (WebReportsApi.dll);

CVE-2022-1399 – Позволяет злоумышленнику удаленно выполнить произвольный код во вспомогательном экземпляре платформы.

CVE-2022-1410 – Позволяет злоумышленнику удаленно выполнить произвольный код в компоненте планировщика задач.

Наиболее опасной из всех четырех уязвимостей является CVE-2022-1399, позволяющая выполнять bash-скрипты с помощью инъекции команд и root-прав. Успешная эксплуатация этой уязвимости предоставляет злоумышленнику полный контроль над устройством жертвы.

И хотя само по себе удаленное выполнение кода невозможно, его можно реализовать вместе с CVE 2022-1401 и CVE-2022-1400.

Bitdefender сообщила Device42 об обнаруженных уязвимостях 18 февраля. Все бреши в защите были устранены в версии 18.01.00, выпущенной 7 июля 2022 года.