0 0 Duas vulnerabilidades no sistema de gerenciamento de dispositivos móveis multiplataforma (MDM) da FileWave permitiriam que agentes mal-intencionados ignorassem os mecanismos de autenticação, assumindo o controle da plataforma e dos dispositivos vinculados a ela.
A plataforma MDM da FileWave permite que os administradores enviem atualizações de software para dispositivos, bloqueiem-nos ou até mesmo limpem dispositivos remotamente.
Um relatório do Team82 da Claroty analisa mais de perto o CVE-2022-34907, uma falha de desvio de autenticação, e o CVE-2022-34906, uma chave criptográfica codificada — vulnerabilidades que o Filewave abordou com uma atualização recente.
De acordo com o relatório, os pesquisadores descobriram mais de 1.100 instâncias diferentes de servidores FileWave MDM vulneráveis
Servidor Web de administração de MDM com bugs
O servidor Web MDM da plataforma, escrito em Python, é um componente chave que permite ao administrador interagir com os dispositivos e receber informações deles.
“Como este serviço deve estar sempre acessível a dispositivos móveis, geralmente é exposto à Internet e atende a solicitações de clientes e administradores”, segundo o relatório. “Sua conectividade o torna um alvo principal em nossa pesquisa nesta plataforma.”
Um dos serviços de back-end no servidor, o serviço de agendador, que agenda e executa tarefas específicas exigidas pela plataforma MDM, usa uma função secreta compartilhada codificada para conceder acesso à conta “super_user” — o usuário mais privilegiado da plataforma .
“Se soubermos o segredo compartilhado e o fornecermos na solicitação, não precisaremos fornecer um token de usuário válido ou saber o nome de usuário e a senha do usuário”, diz o relatório.
Além disso, ao explorar a vulnerabilidade de desvio de autenticação, a equipe conseguiu obter acesso de super_usuário e ter controle total sobre qualquer instância de MDM conectada à Internet.
Em uma exploração de prova de conceito, a equipe conseguiu enviar um pacote malicioso para todos os dispositivos do sistema e, em seguida, executar código remoto para instalar um ransomware falso em todos eles.
“Esta exploração, se usada maliciosamente, pode permitir que invasores remotos ataquem e infectem facilmente todas as instâncias acessíveis pela Internet gerenciadas pelo FileWave MDM, … permitindo que invasores controlem todos os dispositivos gerenciados, obtendo acesso às redes domésticas pessoais dos usuários, redes internas e muito mais”, de acordo com o relatório de segunda -feira .
Os usuários devem aplicar os patches o mais rápido possível para evitar serem vítimas de um ataque, alertam os pesquisadores.
Ataques em endpoints aumentam
Houve um aumento nos ataques contra produtos de gerenciamento de endpoints nos últimos anos, incluindo um dos ataques mais importantes direcionados ao Kaseya VSA.
Nesse ataque, a automação permitiu que um afiliado de gangue de ransomware REvil passasse da exploração de servidores vulneráveis
Embora os ataques móveis ocorram há anos, a ameaça está evoluindo rapidamente para famílias de malware sofisticadas com novos recursos, com invasores implantando malware com recursos completos de acesso remoto, design modular e características semelhantes a worms, representando ameaças significativas aos usuários e suas organizações.
Enquanto isso, uma pesquisa divulgada no início deste mês pela Adaptiva e pelo Ponemon Institute revelou que a empresa média agora gerencia aproximadamente 135.000 dispositivos de endpoint – uma superfície de ataque que se prolifera rapidamente.
Zero Trust reforça a proteção de endpoints
As organizações podem melhorar o gerenciamento de endpoints implementando políticas de confiança zero para maior controle e usando ferramentas de segurança e MDM de BYOD (traga seu próprio dispositivo). Mas eles também devem tomar medidas proativas, como manter os aplicativos atualizados e treinar a equipe para manter os dados confidenciais da empresa seguros e os dispositivos dos funcionários seguros.
Além disso, Claroty observa que a criação de chaves temporárias que não são armazenadas em repositórios centrais e que expiram automaticamente pode melhorar a segurança de terminais e MDM, mesmo para pequenas empresas.
FONTE: DARK READING
