Claroty研究人員在FileWave MDM產(chǎn)品中發(fā)現(xiàn)了兩個漏洞，該漏洞很可能使一千多家企業(yè)面臨網(wǎng)絡(luò)攻擊。FIleWave MDM被企業(yè)用來查看和管理設(shè)備配置、位置、安全設(shè)置和其他設(shè)備數(shù)據(jù)。組織可以使用MDM平臺向設(shè)備推送強制性軟件和更新、更改設(shè)備設(shè)置、鎖定以及在必要時遠(yuǎn)程擦除設(shè)備。

現(xiàn)在修補的兩個漏洞，一個存在身份驗證繞過問題，編號為CVE-2022-34907，另一個是硬編碼的加密問題，編號為CVE-2022-34906。這兩個問題都存在于FileWave MDM版本14.6.3到14.7.x 之間，在14.7.2版本之前，F(xiàn)ileWave本月早些時候解決了14.7.2版本中的漏洞。遠(yuǎn)程攻擊者可以觸發(fā)漏洞繞過身份驗證并獲得對MDM平臺及其托管設(shè)備的完全控制。身份驗證繞過漏洞可以讓遠(yuǎn)程攻擊者獲得“super_user”訪問權(quán)限并完全控制 MDM 安裝，然后使用它來管理目標(biāo)企業(yè)的任何設(shè)備。

根據(jù)Claroty的分析，在研究過程中，他們能夠識別 FileWave MDM 產(chǎn)品套件的身份驗證過程中的一個嚴(yán)重漏洞，從而能夠創(chuàng)建一個繞過平臺中的身份驗證要求并實現(xiàn)超級用戶訪問（平臺的最高特權(quán)用戶）的漏洞。通過利用此身份驗證繞過漏洞，就能夠完全控制任何連接互聯(lián)網(wǎng)的MDM。并且，研究人員發(fā)現(xiàn)多個行業(yè)、超1,100 多家企業(yè)正在使用存在漏洞的MDM。

為了演示CVE-2022-34907漏洞，專家們創(chuàng)建了一個標(biāo)準(zhǔn)的FileWave設(shè)置，并注冊了6臺設(shè)備。他們利用該漏洞泄露了由MDM服務(wù)器管理的所有設(shè)備的數(shù)據(jù)。

“最后，使用允許IT管理員在托管設(shè)備上安裝軟件包和軟件的常規(guī) MDM 功能，我們在每個受控設(shè)備上安裝了惡意軟件包，在每個托管設(shè)備上彈出假勒索軟件病毒。通過這些實驗，我們展示了潛在的攻擊者如何利用 Filewave 的功能來控制不同的托管設(shè)備。”Claroty 說，“如果威脅行為者使用此漏洞，遠(yuǎn)程攻擊者可以輕松攻擊和感染由FileWave MDM 管理的所有互聯(lián)網(wǎng)，允許攻擊者控制所有托管設(shè)備，訪問用戶的個人家庭網(wǎng)絡(luò)、組織的內(nèi)部網(wǎng)絡(luò)等等。”