Hackernews 编译,转载请注明出处:
网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞,如果成功利用这些漏洞,黑客可以控制受影响的系统。
Bitdefender在周三的一份报告中说:“通过利用这些漏洞,攻击者可以冒充其他用户,获得应用程序中的管理员级别访问权限(通过泄露与LFI的会话),或者获得对设备文件和数据库的完全访问权限(通过远程代码执行)。”
更令人担忧的是,在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞,以绕过身份验证保护,并以最高权限实现远程代码执行。
漏洞如下:
- CVE-2022-1399 – 计划任务组件中的远程执行代码
- CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll
- CVE 2022-1401 – Exago中提供的路径验证不足
- CVE-2022-1410 – ApplianceManager控制台中的远程代码执行
其中最关键的漏洞是CVE-2022-1399,它通过命令注入和root权限执行bash指令,授予攻击者对底层设备的完全控制权。
虽然远程代码执行本身无法实现,但它可以与CVE 2022-1401和CVE-2022-1400串联在一起,通过利用Exago报告组件中发现的本地文件包含漏洞,来提取已认证用户的有效会话标识符。
罗马尼亚网络安全公司于2月18日披露之后,Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文