Een aantal beveiligingsproblemen zijn onthuld in de SureMDM-oplossing voor apparaatbeheer van 42 Gears die door aanvallers kan worden gebruikt om een toeleveringsketen te compromitteren tegen getroffen organisaties.
Cyberbeveiligingsbedrijf Immersive Labs, in a technisch schrijven waarin de bevindingen worden beschreven, zei dat 42Gears tussen november 2021 en januari 2022 een reeks updates heeft uitgebracht om meerdere fouten te dichten die zowel de Linux-agent van het platform als de webconsole aantasten.
Het in India gevestigde bedrijf ZekerMDM is een platformonafhankelijke beheerservice voor mobiele apparaten waarmee bedrijven hun vloot van bedrijfseigen machines en apparaten van werknemers op afstand kunnen bewaken, beheren en beveiligen. 42Versnellingen beweringen dat SureMDM door meer dan 10.000 bedrijven wereldwijd wordt gebruikt.
De problemen die in het webdashboard worden geïdentificeerd, zijn ook van kritieke aard, waardoor een aanvaller mogelijk code kan uitvoeren via afzonderlijke apparaten, desktops of servers. Bovendien zouden ze de injectie van kwaadaardige JavaScript-code kunnen toestaan en het mogelijk maken om frauduleuze apparaten te registreren en zelfs bestaande apparaten te spoofen zonder enige authenticatie.
“Door de kwetsbaarheden die van invloed zijn op de webconsole aan elkaar te koppelen, kan een aanvaller beveiligingstools uitschakelen en malware of andere kwaadaardige code installeren op elk Linux-, MacOS- of Android-apparaat waarop SureMDM is geïnstalleerd”, zegt Kev Breen, directeur van Threat Research bij Immersive Lab. “Een aanvaller hoeft geen klantgegevens te kennen om dit te bereiken of zelfs maar een account op SureMDM te hebben.”
Dit kan zich vervolgens uiten in de vorm van een supply chain-aanval waarbij de exploit kan worden uitgevoerd wanneer een gebruiker inlogt op de SureMDM-console, wat resulteert in het compromitteren van elk beheerd apparaat in de organisatie.
De tweede reeks zwakke punten in de beveiliging heeft invloed op SureMDM’s Linux Agent tot en met 3.0.5, waardoor een tegenstander als rootgebruiker op afstand code kan uitvoeren op de hosts. “Dit beveiligingslek kan ook worden misbruikt met lokale toegang tot de getroffen hosts om privileges te escaleren van standaard naar rootgebruiker”, voegde Breen eraan toe.
