Er zijn technische details bekend gemaakt met betrekking tot een aantal beveiligingsproblemen die het webgebaseerde netwerkbeheersysteem MXview van Moxa beïnvloeden, waarvan sommige kunnen worden gekoppeld door een niet-geverifieerde tegenstander om externe code-uitvoering op niet-gepatchte servers te bewerkstelligen.
De vijf zwakke punten in de beveiliging “kunnen een externe, niet-geverifieerde aanvaller in staat stellen code uit te voeren op de hostmachine met de hoogste beschikbare privileges: NT AUTHORITYSYSTEM”, beveiligingsonderzoeker Noam Moshe van Claroty zei in een rapport dat deze week is gepubliceerd.
Moxa MXview is ontworpen voor het configureren, bewaken en diagnosticeren van netwerkapparaten in industriële netwerken. De gebreken, die van invloed zijn op versies 3.x tot 3.2.2 van de netwerkbeheersoftware, zijn verholpen in versie 3.2.4 of hoger na een gecoördineerd openbaarmakingsproces in oktober 2021.
“Succesvolle exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen kritieke bestanden te maken of te overschrijven om code uit te voeren, toegang te krijgen tot het programma, inloggegevens te verkrijgen, de software uit te schakelen, anderszins ontoegankelijke gegevens te lezen en te wijzigen, externe verbindingen met interne communicatiekanalen toe te staan of interactie te hebben. en MQTT op afstand gebruiken”, de US Cybersecurity and Infrastructure Security Agency (CISA) zei in een advies.
MQTT verwijst naar een berichtenprotocol dat asynchrone communicatie op afstand mogelijk maakt, waardoor berichten van en naar verschillende componenten in een MXview-omgeving kunnen worden overgedragen.
De lijst met gebreken is als volgt:
- CVE-2021-38452 (CVSS-score: 7,5) – Een kwetsbaarheid voor padtraversalisering in de applicatie, waardoor kritieke bestanden die worden gebruikt om code uit te voeren, kunnen worden geopend of overschreven
- CVE-2021-38454 (CVSS-score: 10.0) – Een verkeerd geconfigureerde service die externe verbindingen met MQTT mogelijk maakt, waardoor het mogelijk is om op afstand te communiceren en het communicatiekanaal te gebruiken
- CVE-2021-38456 (CVSS-score: 9,8) – Gebruik van hardgecodeerde wachtwoorden
- CVE-2021-38458 (CVSS-score: 9,8) – Een probleem met onjuiste neutralisatie van speciale elementen die kunnen leiden tot het op afstand uitvoeren van ongeautoriseerde opdrachten
- CVE-2021-38460 (CVSS-score: 7,5) – Een geval van wachtwoordlekken waardoor een aanvaller inloggegevens kan verkrijgen
Drie van de bovengenoemde fouten – CVE-2021-38452, CVE-2021-38454 en CVE-2021-38458, kunnen aan elkaar worden geregen om vooraf geverifieerde uitvoering van externe code op kwetsbare MXView-instanties met SYSTEEM-rechten te bereiken.
In een hypothetisch aanvalsscenario bedacht door Claroty, zou CVE-2021-38452 kunnen worden misbruikt om het MQTT-wachtwoord in platte tekst te bemachtigen door het configuratiebestand gateway-upper.ini te lezen, gevolgd door gebruik te maken van CVE-2021-38454 om malafide MQTT te injecteren berichten, waardoor code-uitvoering wordt geactiveerd via opdrachtinjectie op de server.
“Een aanvaller injecteert rechtstreeks schadelijke berichten in de MQTT-broker, waarbij alle invoervalidatie die door de server wordt uitgevoerd, wordt omzeild en bereikt willekeurige uitvoering van externe code via de kwetsbaarheid van de OS-opdrachtinjectie”, legt Moshe uit.
