Ερευνητές στην εταιρεία ασφάλειας τελικού σημείου SentinelOne δημοσίευσαν τη Δευτέρα λεπτομερείς πληροφορίες σχετικά με μερικά κρίσιμα τρωτά σημεία εκτέλεσης απομακρυσμένου κώδικα που ανακαλύφθηκαν στο Microsoft Defender για IoT.
Σχεδιασμένο με δυνατότητες συνεχούς ανίχνευσης και απόκρισης δικτύου (NDR), το Defender for IoT υποστηρίζει διάφορες συσκευές IoT, OT και βιομηχανικού συστήματος ελέγχου (ICS) και μπορεί να αναπτυχθεί τόσο εντός των εγκαταστάσεων όσο και στο cloud.
Παρακολούθησαν ως CVE-2021-42311 και CVE-2021-42313, τα δύο κρίσιμα σφάλματα έχουν βαθμολογία CVSS 10 και αντιμετωπίστηκαν από τη Microsoft με τις Δεκεμβρίου 2021 στην ενημέρωση κώδικα Τρίτη.
Και οι δύο είναι ευπάθειες SQL injection τις οποίες ένας απομακρυσμένος εισβολέας θα μπορούσε να εκμεταλλευτεί χωρίς έλεγχο ταυτότητας για να επιτύχει αυθαίρετη εκτέλεση κώδικα.
Το CVE-2021-42313, το οποίο προσδιορίζεται στη διαδικασία επικύρωσης διακριτικού, υπάρχει επειδή η παράμετρος UUID δεν έχει απολυμανθεί, εξηγεί.
Οι ερευνητές λένε ότι η ευπάθεια τους επέτρεψε να «εισάγουν, να ενημερώνουν και να εκτελούν ειδικές εντολές SQL». Βρήκαν κώδικα απόδειξης ιδέας (PoC) που εκμεταλλεύεται το σφάλμα για να εξαγάγει ένα αναγνωριστικό περιόδου σύνδεσης συνδεδεμένου χρήστη από τη βάση δεδομένων, το οποίο οδηγεί στην πλήρη εξαγορά του λογαριασμού.
Το CVE-2021-42311, που σχετίζεται επίσης με τη διαδικασία επικύρωσης διακριτικού, αν και εκτελείται από διαφορετική λειτουργία, υπάρχει επειδή ένα διακριτικό API που χρησιμοποιείται για επαλήθευση είναι κοινόχρηστο σε εγκαταστάσεις του Defender για IoT.
Το SentinelLabs ανέφερε τα κρίσιμα τρωτά σημεία στη Microsoft τον Ιούνιο του 2021 μαζί με τρία άλλα ζητήματα – δύο ελαττώματα υψηλής σοβαρότητας στο Microsoft Defender για IoT (CVE-2021-42312 και CVE-2021-42310) και μια ευπάθεια στο έργο ανοιχτού κώδικα RCCDAP (CVE -2021-37222).
Το CVE-2021-42310, εξηγεί η SentinelLabs, σχετίζεται με τον μηχανισμό ανάκτησης κωδικού πρόσβασης της πύλης Azure, η οποία αποτελείται από ένα web API Python και ένα web API Java, το οποίο είναι επιρρεπές σε χρόνο ελέγχου χρόνου χρήσης (TOCTOU) ευπάθεια.
Ο μηχανισμός χρησιμοποιεί ένα υπογεγραμμένο αρχείο ZIP επαναφοράς κωδικού πρόσβασης που πρέπει να ανεβάσει ο χρήστης στη σελίδα επαναφοράς κωδικού πρόσβασης. Λόγω του σφάλματος ασφαλείας, ωστόσο, ήταν δυνατή η χρήση του υπογεγραμμένου αρχείου ZIP από διαφορετικό χρήστη για τη δημιουργία ενός αρχείου ZIP που περιέχει ένα κακόβουλο JSON.
Η επίθεση θα μπορούσε να χρησιμοποιηθεί για την απόκτηση του κωδικού πρόσβασης για τον προνομιούχο χρήστη cyberx (η Microsoft απέκτησε το CyberX το 2020 και κατασκεύασε το Defender για IoT στο προϊόν της), κάτι που θα μπορούσε να έχει ως αποτέλεσμα την εκτέλεση κώδικα με δικαιώματα root.
Αυτό οδήγησε τους ερευνητές στην ανακάλυψη ενός απλού ζητήματος έγχυσης εντολών που επηρεάζει τον μηχανισμό αλλαγής κωδικού πρόσβασης, το οποίο αντιμετωπίστηκε ως μέρος του CVE-2021-42312.
“Αν και δεν έχουμε αποδείξεις για ενδόμυχη εκμετάλλευση αυτών των τρωτών σημείων, συνιστούμε περαιτέρω την ανάκληση τυχόν προνομιακών διαπιστευτηρίων που έχουν αναπτυχθεί στην πλατφόρμα πριν από την επιδιόρθωση των πλατφορμών cloud και τον έλεγχο των αρχείων καταγραφής πρόσβασης για παρατυπίες”, σημειώνει η SentinelLabs.
