Les vulnérabilités de la plate-forme de gestion des appareils mobiles (MDM) de FileWave pourraient permettre aux attaquants de prendre le contrôle des instances vulnérables et de tous leurs appareils gérés, avertissent les chercheurs en sécurité.

FileWave MDM permet aux administrateurs informatiques de gérer et de surveiller les ordinateurs portables, stations de travail, smartphones, tablettes et autres appareils intelligents d’une organisation.

Une paire de contournements d’authentification critiques dans le logiciel découvert par la société de cybersécurité industrielle Claroty signifie que des acteurs hostiles pourraient obtenir les privilèges administratifs les plus élevés et accéder aux « réseaux domestiques personnels des utilisateurs, aux réseaux internes des organisations, et bien plus encore », selon un article de blog publié hier (25 juillet) par Noam Moshe, chercheur en vulnérabilité à Claroty.

CONSEILLÉ Une société de fax dans le cloud affirme que les professionnels de la santé abandonnent les e-mails pour un fax « plus sécurisé »

Les attaquants pourraient « exfiltrer toutes les données sensibles détenues par [compromised] appareils, y compris les noms d’utilisateur, les adresses e-mail, les adresses IP, la géolocalisation, etc., et installer des logiciels malveillants sur les appareils gérés », a-t-il ajouté. L’exploit de preuve de concept de Claroty impliquait l’installation d’un faux logiciel de rançon.

Les utilisateurs ont été invités à appliquer la mise à jour logicielle la plus récente.

Les chercheurs de l’équipe Claroty’s Team82 ont déclaré avoir découvert plus de 1 100 instances FileWave MDM vulnérables exploitées par des organisations de différentes tailles, y compris par exemple des agences gouvernementales et des établissements d’enseignement.

Cependant, la « grande majorité » des systèmes ont été « vérifiés comme étant à jour ». Team82 a félicité FileWave pour « avoir rapidement corrigé ces vulnérabilités » et pour avoir averti les utilisateurs.

Secret partagé codé en dur

Les chercheurs ont d’abord découvert une vulnérabilité de clé cryptographique codée en dur (CVE-2022-34906), avant de trouver un deuxième contournement (CVE-2022-34907) que Moshe a comparé à une vulnérabilité récente dans le logiciel de réseau BIG-IP de F5 qui a potentiellement exposé des milliers d’utilisateurs à la reprise à distance.

Le premier contournement concernait un secret partagé codé en dur – SCHEDULER_SECRET – utilisé par le service du planificateur de tâches pour s’authentifier auprès du serveur Web.

Chaque route nécessitant une authentification valide doit hériter du FWAuthMixin classe (ou toute classe qui elle-même hérite de cette classe), a noté Moshe.

« Ce contrôle est effectué à l’intérieur du fonction_test fonction, où si cette fonction renvoie Vrai la demande sera satisfaite, et si cette fonction retourne Fauxun 401 non autorisé sera renvoyé », a-t-il déclaré.

La fonction prend l’en-tête d’autorisation de la requête HTTP, le compare au secret du planificateur décodé en base64 et, s’ils correspondent, la requête est accordée. super_utilisateur autorisations.

« Cela signifie que si nous connaissons le secret partagé et le fournissons dans la demande, nous n’avons pas besoin de fournir un jeton d’utilisateur valide ou de connaître le nom d’utilisateur et le mot de passe de l’utilisateur », a expliqué Moshe.

Deuxième dérivation

Cette vulnérabilité n’a fonctionné que jusqu’à la version 13.1.3 de FileWave, lorsque la logique à l’intérieur FWAuthMixin a été modifié de sorte qu’au lieu de comparer l’en-tête d’autorisation au secret du planificateur, il n’accepte que les jetons d’utilisateurs valides.

Mais Team82 a également découvert l’ajout d’un middleware – AppTokenMiddleware – qui a comparé l’en-tête d’autorisation au secret du planificateur. Cependant, ils devraient contourner un nouveau contrôle comparant request.get_host() à localhost afin d’obtenir à nouveau super_utilisateur privilèges.

Heureusement, Documentation de Django, qui a été utilisé pour coder le serveur Web en Python, a montré que cela était réalisable en définissant le HTTP_HOST en-tête en tant qu’hôte local.

Aucune exploitation à ce jour

FileWave a corrigé la deuxième faille dans les versions 14.6.3, 14.7.2 et 14.8, qui protègent les utilisateurs contre les deux contournements.

Le fournisseur a déclaré avoir informé les utilisateurs concernés des vulnérabilités et de la disponibilité des versions corrigées le 26 avril.

Dans un communiqué de presse publié aujourd’hui (26 juillet), il a également déclaré : « La mise en œuvre des versions logicielles corrigées aurait dû éliminer le risque que les vulnérabilités soient exploitées par des attaques tierces. Depuis l’identification des vulnérabilités, aucune exploitation réelle n’a été connue de FileWave à ce jour. Néanmoins, nous recommandons aux utilisateurs de FileWave Services de revérifier que la mise à jour de sécurité est correctement installée et à jour pour éviter le risque d’attaques de tiers à l’avenir.

Noam Moshe a déclaré : « Avec le grand nombre de XIoT [extended IoT] appareils utilisés aujourd’hui, il est très courant pour tout type d’organisation d’utiliser une solution MDM afin que les administrateurs informatiques puissent tout gérer efficacement.

« Les vulnérabilités de contournement d’authentification, telles que CVE-2022-34907, sont malheureusement plus courantes que beaucoup ne le pensent », a-t-il ajouté. « En partageant nos connaissances, nous espérons sensibiliser à ces types de vulnérabilités afin qu’elles puissent être éliminées avant qu’elles ne soient exploitées dans le monde entier. »