کشف آسیبپذیری اجرای کد از راه دور در نرمافزار مدیریت چاپ PrinterLogic
محققان امنیتی Sygnia Consulting، چندین آسیبپذیری را در نرمافزار مدیریت چاپ PrinterLogic کشف کردند که میتواند به مهاجمان اجازه اجرای کد از راه دور را در Endpoint ها بدهد. مسئله اصلی این است که این نرمافزار، SSL و گواهی بهروزرسانی نرمافزار را اعتبارسنجی نمیکند، که این امر میتواند به مهاجمان اجازه پیکربندی مجدد نرمافزار را بدهد. علاوه بر این، PrinterLogic Agent قادر به سنتز ورودی مرورگر نیست که میتواند توسط یک مهاجم از راه دور مورد سوءاستفاده قرار گیرد تا بتواند تنظیمات پیکربندی را به دلخواه تغییر دهد. طبق گزارش وبسایت مرکز هماهنگی CERT، این آسیبپذیریها در سطح بحرانی و دارای نمره 7.8 از CVSS هستند. اولین آسیبپذیری کشف شده دارای شناسه CVE-2018-5408 میباشد و به علت عدم اعتبارسنجی یا اعتبارسنجی نامناسب گواهی SSL موجود در پورتال مدیریت این نرمافزار، قابل بهرهبرداری است. بدین ترتیب مهاجم میتواند از طریق حملات MitM، یک گواهی نامعتبر یا مخرب را بجای یک گواهی معتبر جعل کند و با این کار، نرمافزار را میتوان برای اتصال به یک میزبان مخرب فریب داد و یا به پذیرش دادههای جعلی که به نظر میرسد از یک میزبان قابل اعتماد دریافت شدهاند، مجبور کرد. آسیبپذیری دوم دارای شناسه CVE-2018-5409 میباشد و در بهروزرسانی نرمافزار و اجرا کردن کد، بدون گرفتن تأییدیه مناسب از منبع و اطمینان از یکپارچگی آن وجود دارد که میتواند به مهاجم امکان این را بدهد که بتواند کدهای مخرب را برای دستیابی به سرور میزبان اجرا کند و جعل DNS کند و یا کد را در حین گذر تغییر دهد. آسیبپذیری سوم با شناسه CVE-2019-9505، مربوط به عدم سنتز بعضی از کاراکترهای خاص توسط این نرمافزار است که منجر به تغییرات غیرمجاز از راه دور در فایلهای پیکربندی میشود. با سوءاستفاده از این آسیبپذیری، مهاجم احراز هویت نشده ممکن است بتواند از راه دور هر کد دلخواهی را با امتیازات سیستمی اجرا کند. به کاربران آسیبپذیر توصیه میشود که نرمافزار مدیریت چاپ PrinterLogic خود را سریع بهروزرسانی کنند و برای جلوگیری از سناریو حملات MitM، کاربران باید VPN های خود را روی"always on" قرار دهند. کاربران همچنین برای جلوگیری از اجرای کد مخرب در PrinterLogic agent، باید لیست سفید برنامه را در Endpoint اجرا کنند.
مرکز ماهر
دانشگاه کردستان