安全研究人员警告说,FileWave的移动设备管理(MDM)平台中的漏洞可能使攻击者能够控制易受攻击的实例及其所有托管设备。FileWave MDM允许IT管理员管理和监控组织的笔记本电脑、工作站、智能手机、平板电脑和其他智能设备。根据昨天发布的一篇博客文章,工业网络安全公司Claroty发现的软件中的一对关键身份验证绕过意味着敌对行为者可以获得最高管理权限并访问“用户的个人家庭网络、组织的内部网络等等” 7月25日由Claroty漏洞研究员Noam Moshe撰写。
他补充说,攻击者可以“窃取[被入侵]设备持有的所有敏感数据,包括用户名、电子邮件地址、IP 地址、地理位置等,并在托管设备上安装恶意软件”。Claroty的概念验证漏洞利用涉及安装虚假勒索软件。
已敦促用户应用最新的软件更新。
Claroty Team82研究人员表示,他们发现了1100多个易受攻击的FileWave MDM实例,这些实例由各种规模的组织运营,包括政府机构和教育机构。
然而,“绝大多数”系统已经“验证为最新”。Team82赞扬FileWave “迅速修补这些漏洞”并通知用户。
研究人员首先发现了一个硬编码的加密密钥漏洞(CVE-2022-34906),然后发现了第二个绕过(CVE-2022-34907),Moshe 将其比作F5的BIG-IP网络软件中最近的一个漏洞,该漏洞可能暴露数千名用户到远程接管。
第一个绕过涉及硬编码的共享密钥 - SCHEDULER_SECRET - 由任务调度程序服务用于对Web服务器进行身份验证。
Moshe指出,每个需要有效身份验证的路由都必须继承FWAuthMixin类(或任何本身继承该类的类)。
“这个检查是在test_func函数内部执行的,如果这个函数返回True请求将被满足,如果这个函数返回False,一个401 Unauthorized将被返回,”他说。
该函数从HTTP请求中获取授权标头,将其与base64解码的调度程序机密进行比较,如果它们匹配,则授予该请求super_user权限。
“这意味着,如果我们知道共享密钥并在请求中提供它,我们就不需要提供有效用户的令牌或知道用户的用户名和密码,”Moshe解释说。
此漏洞仅适用于FileWave版本13.1.3,当FWAuthMixin内部的逻辑发生更改时,它不会将授权标头与调度程序机密进行比较,而是只接受有效用户的令牌。
但Team82还发现添加了一个中间件——AppTokenMiddleware——它确实将授权标头与调度程序机密进行了比较。但是,他们必须绕过一个新的检查,将request.get_host()与localhost进行比较,以便再次获得super_user权限。
幸运的是,来自Django的文档(用于在Python中编写Web服务器)表明,通过将HTTP_HOST标头设置为localhost可以实现这一点。
FileWave解决了版本14.6.3、14.7.2和14.8中的第二个缺陷,它可以保护用户免受这两种绕过。
该供应商表示,它已于4月26日通知受影响的用户漏洞和补丁版本的可用性。
在7月26日发布的新闻稿中,它还表示:“修补软件版本的实施应该消除了漏洞被第三方攻击利用的风险。自发现漏洞以来,迄今为止FileWave尚未发现任何实际利用情况。尽管如此,我们还是建议FileWave服务的用户仔细检查安全更新是否已正确安装并且是最新的,以避免未来遭受第三方攻击的风险。”
Noam Moshe说:“随着当今使用大量XIoT[扩展物联网] 设备,任何类型的组织都非常普遍地使用MDM解决方案,以便IT管理员可以有效地管理一切。
“不幸的是,CVE-2022-34907等身份验证绕过漏洞比许多人意识到的更为普遍,”他补充道。“通过分享我们的知识,我们希望提高对这些类型漏洞的认识,以便在它们被全球利用之前将其消除。”
评论已关闭。