供应商警告,“绝大多数”用户已更新了系统
文件波中的漏洞移动的安全研究人员警告说,设备管理(MDM)平台可以使攻击者能够控制脆弱实例及其所有托管设备的控制。
FileWave MDM允许IT管理员管理和监视组织的笔记本电脑,工作站,智能手机,平板电脑和其他智能设备。
根据工业网络安全公司Claroty发现的软件中的一对重要身份验证意味着敌对的参与者可以获得最高的行政特权,并访问“用户的个人家庭网络,组织的内部网络等等”。博客文章Claroty脆弱性研究员Noam Moshe于昨天(7月25日)出版。
推荐的云传真公司声称医疗保健专业人员正在抛弃“更安全”传真的电子邮件
他补充说,攻击者可以“淘汰[妥协]设备所持有的所有敏感数据,包括用户名,电子邮件地址,IP地址,地理位置,地理位置等,并在托管设备上安装恶意软件”。Claroty的概念证明利用涉及人造的安装勒索软件。
已敦促用户应用最新的软件更新。
Claroty Team82的研究人员说,他们发现了1,100多个脆弱的文件波MDM实例,由各种规模的组织(例如政府机构和教育机构)运营。
但是,“绝大多数”系统已被“最新验证”。Team82赞扬FileWave用于“快速修补这些漏洞”并通知用户。
硬编码共享的秘密
研究人员首先发现了一个硬编码的加密密钥漏洞(CVE-2022-34906),然后找到了第二次旁路(CVE-2022-34907)F5的Big-IP网络软件中的脆弱性这可能使成千上万的用户接管。
第一次绕过与硬编码的共享秘密有关的 -Scheduler_secret- 由任务调度程序服务使用以对Web服务器进行身份验证。beplay体育能用吗
需要有效身份验证的每个路由必须继承fwauthmixinMoshe指出,类(或任何继承此类的班级)。
“此检查是在内部执行的test_func功能,如果此功能返回真的该请求将得到满足,如果此功能返回错误的,将返回401个未经授权的人。”他说。
该函数从HTTP请求中获取授权标题,将其比较与Base64编码的调度程序Secret进行比较,如果它们匹配,则授予该请求super_user权限。
“这意味着,如果我们知道共享的秘密并在请求中提供它,则无需提供有效的用户令牌或知道用户的用户名和密码,” Moshe解释说。
第二个旁路
此漏洞仅在FileWave版本13.1.3上工作,当fwauthmixin已更改,因此,它没有接受有效的用户令牌,而不是将授权标题与调度程序的秘密进行比较。
但是Team82还发现了中间件的增加 -AppTokenMiddleware- 这确实将授权标题与调度程序的秘密进行了比较。但是,他们将不得不绕过一个新的支票进行比较request.get_host()到Localhost,以再次获得super_user特权。
幸运的是,文档来自用于编码Python的Web服务器的Django,证明这是可以通过设置beplay体育能用吗http_host标题为Localhost。
迄今没有剥削
FileWave在版本14.6.3、14.7.2和14.8中解决了第二个缺陷,该漏洞可保护用户免受这两个旁路。
供应商说,它于4月26日通知受影响的用户漏洞和修补版本的可用性。
在今天(7月26日)发布的新闻稿中,它还说:“修补软件版本的实施应该消除了第三方攻击利用脆弱性的风险。由于识别漏洞,迄今为止,尚无实际的剥削已知。尽管如此,我们建议使用文件波服务的用户对安全更新进行正确安装和最新情况,以避免发生第三方攻击的风险。”
Noam Moshe告诉每日swbeplay2018官网ig:“借助当今正在使用的大量Xiot [扩展的物联网]设备,任何类型的组织都使用MDM解决方案非常普遍,因此IT管理员可以有效地管理所有内容。
他补充说:“不幸的是,身份验证旁路漏洞,例如CVE-2022-34907,比许多人意识到的更为普遍。”“通过分享我们的知识,我们希望提高人们对这些类型的漏洞的认识,以便在全世界被剥削之前可以消除它们。”
