Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, haben im Mobile Device Management von FileWave zwei kritische Schwachstellen (CVE-2022-34907 und CVE-2022-34906) entdeckt. Diese können aus der Ferne ausgenutzt werden und ermöglichen es Angreifern, die Authentifizierungsmechanismen zu umgehen und die vollständige Kontrolle über die MDM-Plattform und die verwalteten Geräte zu erlangen. Hiervon sind tausende verwundbare Server in unterschiedlichen Branchen sowie Behörden und Bildungseinrichtungen betroffen. FileWave hat diese Schwachstellen in einem kürzlich erschienenen Update behoben. Benutzern wird dringend empfohlen, ihre eingesetzte Software entsprechend zu aktualisieren.
FileWave MDM ist eine plattformübergreifende Lösung zur Verwaltung mobiler Geräte, die es IT-Administratoren ermöglicht, alle Geräte eines Unternehmens anzuzeigen, zu verwalten und zu überwachen. Derzeit unterstützt FileWave MDM eine breite Palette von Geräten, von iOS- und Android-Smartphones, MacOS- und Windows-Tablets, Laptops und Workstations bis hin zu Smart Devices wie Fernsehern.
Parallelen zu Kaseya
In den letzten Jahren wurden zahlreiche Angriffe auf Endpoint-Management-Produkte verübt, etwa der auf Kaseya VSA. Die von tausenden Service Providern eingesetzte IT-Management-Lösung wurde durch REvil mittels Ausnutzung einer Zero-Day-Schwachstelle kompromittiert und zur Verteilung von Ransomware auf Endpunkten weltweit verwendet. Mehr als 1.000 Unternehmen mussten aufgrund dieses Angriffs erhebliche Ausfallzeiten hinnehmen.
Gelingt es Angreifern, IT- und Device-Management-Lösungen zu kompromittieren, können sie alle verwalteten Geräte kontrollieren und sensible Daten wie die Seriennummer eines Geräts, die E-Mail-Adresse und den vollständigen Namen des Benutzers, den geografischen Standort, die IP-Adresse oder Geräte-PIN-Codes exfiltrieren. Darüber hinaus sind sie in der Lage, Funktionen zu missbrauchen, um bösartige Pakete oder ausführbare Dateien zu installieren und sogar über Fernsteuerungsprotokolle direkten Zugriff auf das Gerät zu erhalten.
Im Rahmen ihrer Forschung gelang es den Experten von Team82, eine kritische Schwachstelle im Authentifizierungsprozess der FileWave MDM-Produktsuite zu identifizieren, die es ihnen ermöglichte, die Authentifizierungsanforderungen der Plattform zu umgehen und weitreichende Rechte zu erhalten. Auf diese Weise wären sie in der Lage gewesen, die volle Kontrolle über jede mit dem Internet verbundene MDM-Instanz zu übernehmen. Bei den Untersuchungen wurden mehr als 1.100 solcher Instanzen identifiziert, die jeweils eine hohe Anzahl verwalteter Endgeräte umfasste. Entsprechend könnten Angreifer die Kontrolle über sämtlich Geräte erlangen, diese angreifen und infizieren sowie sich Zugang zu den privaten Heimnetzwerken der Benutzer und den internen Netzwerken von Unternehmen verschaffen.
Wie dieser Angriff im Detail aussieht, ein Proof of Concept sowie weitere Informationen finden sich im entsprechenden Blog-Beitrag von Claroty.
Mittlerweile hat FileWave diese Sicherheitslücken vollständig behoben und rät allen Anwendern, auf die neueste Version zu aktualisieren. Team82 bedankt sich ausdrücklich bei FileWave für die Zusammenarbeit bei der Aufdeckung dieser Schwachstellen und die rasche Behebung dieser Sicherheitslücken. Die Nutzer wurden benachrichtigt und die große Mehrheit der Anwendungen befindet sich mittlerweile auf dem neuesten Stand.
