Bitdefender: Schwachstelle in Device42

Schwachstellen in IT-Management-Plattformen können zu gefährlichen Sicherheitslücken werden. Bitdefender gibt als Beispiel die Ergebnisse seiner Ermittlungen rund um eine mittlerweile behobene Schwachstelle in Device42 bekannt. Mit der weit verbreiteten Device42-Plattform können IT-Administratoren Hardware, Software, Geräte und Netzwerke sowohl in On-Premise- als auch in Cloud-Umgebungen über ihre Organisation hinweg verwalten. Die weit verbreitete Verwaltungsplattform entdeckt Assets automatisch und zeichnet ihre Abhängigkeiten voneinander auf.

Die Experten der Bitdefender Labs fanden eine Schwachstelle, durch die Hacker Remote Code in der Staging-Umgebung der Plattform ausführen können. Sie konnten auch einen vollen Root-Zugang und damit die komplette Kontrolle über interne Assets der Opfer-IT erlangen. Device42 hat nach intensiver Zusammenarbeit mit den Bitdefender Labs mittlerweile die Schwachstelle geschlossen. Nutzer werden dazu aufgefordert, sofort ihre Lösung auf die Version 18.01.00 oder höher zu aktualisieren.

Die Experten der Bitdefender Labs fanden mehrere schwerwiegende Sicherheitslücken bei der Device42-Plattform-Appliance. Hacker konnten diese mit jedem Zugangslevel auf das Netz des angegriffenen Unternehmens ausnutzen. So waren sie im Stande, über Cross Site Scripting (XSS) einen legitimen Anwender abzubilden.

Zudem erhielten sie durch das Abhören einer Session mit einer Local File Inclusion (LFI) einen Administratorzugang auf die Device42-Lösung. Hacker erlangten so ausgehend von einer Session-Teilnahme ohne Authentifikation Rechte zur Remote Code Execution (RCE) mit Root-Privilegien. Daraus ergaben sich kritische Folgerisiken wie etwa das Extrahieren gültiger Session-IDs authentifizierter Nutzer oder die Fernausführung von Code durch eine Autodiscovery-Aufgabe.

Außerdem konnten die Angreifer Remote Code in der Compliance-Manager-Komponente von Device42 ausführen. Die dafür benötigten Zugangsdaten erhielten Angreifer, in dem sie die in dem Bitdefender-Labs-Report beschriebenen Sicherheitslücken ausnutzten.

Durch Ausnutzung dieser Probleme kann sich ein Angreifer als andere Benutzer ausgeben, Zugriff auf die Administratorebene der Anwendung erhalten
(durch das Durchsickern einer Sitzung mit einem LFI) oder vollen Zugriff auf
die Anwendungsdateien und die Datenbank (durch Remote-Code
Ausführung).


Durch Verkettung mehrerer Sicherheitslücken kann ein Angreifer
Remote-Code-Ausführung mit Root-Rechten erreichen ausgehend von einer unauthentifizierten Sitzung:
– Entfernte Code-Ausführung durch Erstellen eines Autodiscovery
Task (*nix/CISCO NX-OS) mit manipuliertem RCE-Payload als
Nutzername

Zugewiesene CVEs

– CVE-2022-1399 – Entfernte Code-Ausführung in der Komponente für geplante Aufgaben

– CVE-2022-1400 – Hardcodierter Verschlüsselungsschlüssel IV in Exago WebReportsApi.dll.

– CVE 2022-1401 – Unzureichende Validierung der angegebenen Pfade in Exago

– CVE-2022-1410 – Entfernte Code-Ausführung in der ApplianceManager-Konsole

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago