Claroty研究人員在FileWave MDM產(chǎn)品中發(fā)現(xiàn)了兩個(gè)漏洞，該漏洞很可能使一千多家企業(yè)面臨網(wǎng)絡(luò)攻擊。FIleWave MDM被企業(yè)用來(lái)查看和管理設(shè)備配置、位置、安全設(shè)置和其他設(shè)備數(shù)據(jù)。組織可以使用MDM平臺(tái)向設(shè)備推送強(qiáng)制性軟件和更新、更改設(shè)備設(shè)置、鎖定以及在必要時(shí)遠(yuǎn)程擦除設(shè)備。

現(xiàn)在修補(bǔ)的兩個(gè)漏洞，一個(gè)存在身份驗(yàn)證繞過(guò)問(wèn)題，編號(hào)為CVE-2022-34907，另一個(gè)是硬編碼的加密問(wèn)題，編號(hào)為CVE-2022-34906。這兩個(gè)問(wèn)題都存在于FileWave MDM版本14.6.3到14.7.x 之間，在14.7.2版本之前，F(xiàn)ileWave本月早些時(shí)候解決了14.7.2版本中的漏洞。遠(yuǎn)程攻擊者可以觸發(fā)漏洞繞過(guò)身份驗(yàn)證并獲得對(duì)MDM平臺(tái)及其托管設(shè)備的完全控制。身份驗(yàn)證繞過(guò)漏洞可以讓遠(yuǎn)程攻擊者獲得“super_user”訪問(wèn)權(quán)限并完全控制 MDM 安裝，然后使用它來(lái)管理目標(biāo)企業(yè)的任何設(shè)備。

根據(jù)Claroty的分析，在研究過(guò)程中，他們能夠識(shí)別 FileWave MDM 產(chǎn)品套件的身份驗(yàn)證過(guò)程中的一個(gè)嚴(yán)重漏洞，從而能夠創(chuàng)建一個(gè)繞過(guò)平臺(tái)中的身份驗(yàn)證要求并實(shí)現(xiàn)超級(jí)用戶(hù)訪問(wèn)（平臺(tái)的最高特權(quán)用戶(hù)）的漏洞。通過(guò)利用此身份驗(yàn)證繞過(guò)漏洞，就能夠完全控制任何連接互聯(lián)網(wǎng)的MDM。并且，研究人員發(fā)現(xiàn)多個(gè)行業(yè)、超1,100 多家企業(yè)正在使用存在漏洞的MDM。

為了演示CVE-2022-34907漏洞，專(zhuān)家們創(chuàng)建了一個(gè)標(biāo)準(zhǔn)的FileWave設(shè)置，并注冊(cè)了6臺(tái)設(shè)備。他們利用該漏洞泄露了由MDM服務(wù)器管理的所有設(shè)備的數(shù)據(jù)。

“最后，使用允許IT管理員在托管設(shè)備上安裝軟件包和軟件的常規(guī) MDM 功能，我們?cè)诿總€(gè)受控設(shè)備上安裝了惡意軟件包，在每個(gè)托管設(shè)備上彈出假勒索軟件病毒。通過(guò)這些實(shí)驗(yàn)，我們展示了潛在的攻擊者如何利用 Filewave 的功能來(lái)控制不同的托管設(shè)備?！盋laroty 說(shuō)，“如果威脅行為者使用此漏洞，遠(yuǎn)程攻擊者可以輕松攻擊和感染由FileWave MDM 管理的所有互聯(lián)網(wǎng)，允許攻擊者控制所有托管設(shè)備，訪問(wèn)用戶(hù)的個(gè)人家庭網(wǎng)絡(luò)、組織的內(nèi)部網(wǎng)絡(luò)等等?！?/p>