研究人员说,高严重性缺陷显示集中管理意味着集中的风险
更新三重奏漏洞安全研究人员透露,在企业打印管理软件上,打印机攻击者在所有连接的端点上远程代码执行(RCE)的途径。
所有分配的CVSS等级为8.1,高严重性缺陷包括对象注入(CVE-2021-42631),硬编码app_key(CVE-2021-42635)和指挥注射(CVE-2021-42638)问题。
雅虎脆弱性研究团队偏执狂的研究人员取得了成就RCE通过滥用Pribeplay体育能用吗nterLogic的单击打印机安装功能,在Web堆栈服务器上。
在安全更新中,打印机供应商vasion在研究期间进行的研究中发现的虫子在19.1.1.1.13-sp10中解决了这些错误。1月21日发布。所有先前的版本都是脆弱的。
该更新还解决了雅虎安全研究部门发现的一系列中和低严重性错误。
投资回报
Yahoo的安全研究人员Blaine Herro说,PrinterLogic实现了一个吸引人的攻击目标,部分原因是它具有可以在许多或所有端点上运行的代理,并且可以在管理员级许可证上安装组件或配置端点。
此外,“供应商发布了客户列表,该清单准确地显示了攻击者的投资回报率,” Herro继续技术文章。“如果攻击者发现一个漏洞,[他们可以]在140个备受瞩目的组织中广泛妥协。”
但是,通过攻击者需要通过VPN或EDGE设备设备中适用的漏洞来降低手头漏洞的严重性,除了面向互联网的安装(适用于几个环境,Herro)。
PHP对象注入
Herro详细介绍了一个漏洞,始于未经身份化的PHP对象注入的“非常经典的示例” - 在PHP应用程序中,“历史上”有问题的错误类,包括Concretecms,Magento, 和情绪。
有关的Moodle电子学习平台中的RCE错误可能被滥用以窃取数据,操纵结果
一旦服务器被妥协并确保了持续的访问权限,攻击者可以在用户执行单击安装时侧向移动到任意工作站,这会提示Printlogic WorkStation客户端(PrinterInstallerClient)下拉并安装相关的驱动程序包。
Herro列出了如何控制发送到MacOS和Linux或Linux或Linux或视窗通过操纵数据库,从而在连接的端点上获得任意文件系统写入。
他补充说:“额外的好处是打印机斯泰尔赛车作为根运行。”
研究人员说,在接收驱动程序包的端点上执行代码,“每个平台上有一些选项并不是特别困难”。他通过在定期服务运行的计划维护脚本中注入脚本来解释如何在MacOS上这样做。
滥用范围标准
不满意骗子潜在的标记在下载特定的背式打印机驱动程序时,研究人员发掘了一项功能,使他们能够将驱动程序推向任意端点。
具体而言,可以根据范围的标准将打印机部署到运行打印机的端点。该标准包括主机名,可以将其指定为通配符,从而将打印机范围用于Web堆栈服务器的所有端点。beplay体育能用吗
这意味着攻击者可以“在所有是Web堆栈服务器的客户端的连接端点上实现RCE,也可以在不需要进一步的用户交互的情况下折衷选择端点,” Herro说。beplay体育能用吗
他补充说:“随着您的公司规模的增长,可以自然到达企业简化许多员工使用的关键功能管理的产品(在这种情况下,打印机)。但是,集中管理的副产品是集中风险。”
vasion评论
Vasion的发言人说:“ Verizon媒体安全团队偏执狂并肩作战,在解决了所有漏洞之后,在一月份提到了CVE。
“虽然最初发现漏洞的发现与我们的网络堆栈平台有关beplay体育能用吗修复工作除此之外,还包括打印机虚拟设备和打印机SaaS。纠正措施已经应用于SaaS,现在已经生活了。
“ Vasion要感谢Verizon Media的偏执研究团队。我们以强烈的安全感感谢客户,他们愿意帮助我们的产品来制作。”
本文于1月27日更新了vasion的评论
