Claroty研究人员在FileWaveMDM产品中发现了两个漏洞,可能会使1000多家企业遭受网络攻击。企业使用FIleWaveMDM查看和管理设备配置、位置、安全设置和其他设备数据。组织可以使用MDM平台向设备推送强制性软件和更新、更改设备设置、锁定并在必要时远程擦除设备。现在修补的两个漏洞,一个是身份验证绕过问题,编号为CVE-2022-34907,另一个是硬编码加密问题,编号为CVE-2022-34906。这两个问题都存在于FileWaveMDM版本14.6.3到14.7.x之间,先于版本14.7.2,FileWave本月早些时候解决了这个问题。远程攻击者可以触发该漏洞以绕过身份验证并获得对MDM平台及其托管设备的完全控制。身份验证绕过漏洞可能允许远程攻击者获得“超级用户”访问权限并完全控制MDM安装,然后可用于管理目标企业的任何设备。根据Claroty的分析,在他们的研究过程中,他们能够识别出FileWaveMDM产品套件的身份验证过程中的一个关键漏洞,这使他们能够创建一个系统,绕过平台中的身份验证要求并启用超级用户访问(平台的最高特权用户)。)漏洞。通过利用此身份验证绕过漏洞,可以完全控制任何连接到Internet的MDM。而且,研究人员发现,多个行业的1,100多家企业都在使用易受攻击的MDM。为了演示CVE-2022-34907漏洞,专家们创建了一个标准的FileWave设置并注册了6个设备。他们利用此漏洞窃取了MDM服务器管理的所有设备的数据。“最后,使用允许IT管理员在托管设备上安装软件包和软件的常规MDM功能,我们在每台托管设备上安装了一个恶意软件包,在每台托管设备上弹出一个虚假的勒索软件病毒。通过这些实验,我们展示了潜在的攻击者如何利用Filewave的能力来控制不同的托管设备。”Claroty说,“如果威胁行为者利用这个漏洞,远程攻击者可以轻松地攻击并感染所有由Filewave管理的互联网。FileWaveMDM,允许攻击者控制所有托管设备,访问用户的个人家庭网络、组织的内部网络等等。”
