Les vulnérabilités de SureMDM auraient pu être enchaînées pour compromettre chaque appareil exécutant la plate-forme populaire de gestion des appareils mobiles (MDM) au sein d’une entreprise ciblée, ont révélé des chercheurs en sécurité.
Le fournisseur, la société de technologie indienne 42 Gears, a corrigé les bogues, ce qui a conduit à l’exécution de code à distance (RCE) via la console Web, ainsi qu’à RCE, à l’injection de commandes, au mot de passe codé en dur, à l’élévation des privilèges locaux et aux failles de divulgation d’informations affectant l’agent Linux. .
Les vulnérabilités affectent à la fois les installations cloud et sur site.
CONSEILLÉ Xerox s’attaque tardivement à la menace de briquetage des imprimantes sur le Web
SureMDM est utilisé pour sécuriser, surveiller et gérer les appareils à l’aide des ressources de l’entreprise. Le fournisseur affirme que ses produits ont plus de cinq déploiements réussis et listes Lufthansa, Sodexo, Toyota, DHL et ArcelorMittal parmi ses clients.
Menace de logiciel malveillant
L’exploit RCE dans la console Web SureMDM, qui est illustré dans la vidéo ci-dessous, a permis à des attaquants non authentifiés sans connaissance des clients cibles de prendre le contrôle des appareils Linux, macOS et Android, ainsi que des ordinateurs de bureau et des serveurs, et de désactiver ensuite les outils de sécurité. et installer des logiciels malveillants sur les appareils compromis.
« Une fois que l’attaquant a envoyé l’exploit à chaque compte client, il lui suffit d’attendre que le premier utilisateur se connecte à la console Web SureMDM pour que la charge utile soit exécutée », a déclaré Kev Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. , dans un article de blog.
« Lors de la connexion, l’application Web démarrerait automatiquement les tâches infectées qui affecteraient tous les appareils gérés de l’organisation. »
Répartition des bogues
Les problèmes de la console Web incluent un manque d’authentification par défaut entre l’agent exécuté sur l’hôte et le serveur, ce qui signifie que les attaquants peuvent enregistrer de faux appareils et potentiellement intercepter les demandes de travail contenant des données sensibles.
Ils pourraient, si l’adresse mac est connue, usurper un appareil connu et envoyer de mauvaises données au serveur.
Bien que cela puisse être atténué en permettant l’authentification des agents se connectant au serveur pour la première inscription, a déclaré Breen, « un oubli dans cette configuration signifiait que les appareils Linux et Mac ou les faux appareils imitant ces systèmes d’exploitation pourraient contourner cette étape d’authentification et s’enregistrer eux-mêmes. quels que soient ces paramètres ».
Le « contournement signifiait que même avec l’activation de l’inscription améliorée du mot de passe, les appareils Linux et Mac n’étaient pas appliqués – vous pouviez donc annuler cette vérification en prétendant être un appareil Linux », a déclaré Breen. La gorgée quotidienne.
« Ce contournement a été corrigé afin que tous les appareils doivent utiliser les vérifications supplémentaires, mais l’option par défaut (au moment de la rédaction) était qu’aucun mot de passe n’est requis pour intégrer de nouveaux hôtes. »
Une autre faille de script intersite (XSS) survient parce que la console Web n’a pas réussi à nettoyer complètement les valeurs reçues des agents avant de les afficher dans le frontal.
Interrogé sur la facilité d’exploitation, Breen a déclaré : « Avant d’être corrigé, la réplication de la vulnérabilité sur l’agent Linux nécessiterait une familiarité avec Java et l’accès à l’agent lui-même. Les exploits de la console sont nettement plus difficiles à exploiter car ils impliquent l’enchaînement de plusieurs composants.
« Deuxièmement, le composant clé qui a permis le plus grand impact, le XSS dans la console Web, a été résolu – atténuant efficacement la chaîne pour tous les utilisateurs. »
Correctifs et atténuations
Immersive Labs a contacté pour la première fois 42 Gears au sujet des failles le 6 juillet 2021. Le long processus de divulgation, qui a été compliqué par la découverte périodique de vulnérabilités supplémentaires, a abouti à la publication de correctifs en novembre et janvier.
Immersive Labs a publié ses conclusions le 28 janvier. Les CVE sont toujours en attente.
Breen a exhorté les administrateurs système à s’assurer que leurs agents sont à jour, que l’authentification des agents est activée et à « vérifier quels travaux sont enregistrés sur la page des travaux de la console et à vérifier dans les journaux les travaux qui semblent suspects ».