Es wurden technische Details zu einer Reihe von Sicherheitslücken im webbasierten Netzwerkmanagementsystem MXview von Moxa bekannt, von denen einige von einem nicht authentifizierten Angreifer ausgenutzt werden könnten, um Remotecode auf ungepatchten Servern auszuführen.
Die fünf Sicherheitslücken „könnten es einem entfernten, nicht authentifizierten Angreifer ermöglichen, Code auf dem Host-Rechner mit den höchsten verfügbaren Privilegien auszuführen: NT AUTHORITY\SYSTEM“, so der Claroty-Sicherheitsforscher Noam Moshe in einem diese Woche veröffentlichten Bericht.
Moxa MXview ist für die Konfiguration, Überwachung und Diagnose von Netzwerkgeräten in industriellen Netzwerken konzipiert. Die Schwachstellen, die die Versionen 3.x bis 3.2.2 der Netzwerkmanagement-Software betreffen, wurden in der Version 3.2.4 oder höher nach einem koordinierten Offenlegungsprozess im Oktober 2021 behoben.
„Die erfolgreiche Ausnutzung dieser Schwachstellen kann es einem Angreifer ermöglichen, kritische Dateien zu erstellen oder zu überschreiben, um Code auszuführen, sich Zugang zum Programm zu verschaffen, Anmeldeinformationen zu erhalten, die Software zu deaktivieren, ansonsten unzugängliche Daten zu lesen und zu verändern, Fernverbindungen zu internen Kommunikationskanälen zuzulassen oder MQTT aus der Ferne zu nutzen“, so die U.S. Cybersecurity and Infrastructure Security Agency (CISA) in einem Advisory.
MQTT ist ein Nachrichtenprotokoll, das eine asynchrone Fernkommunikation ermöglicht und die Übertragung von Nachrichten zu und von verschiedenen Komponenten in einer MXview-Umgebung erlaubt.
Die Liste der Schwachstellen ist wie folgt.
CVE-2021-38452 (CVSS-Score: 7.5) – Eine Path-Traversal-Schwachstelle in der Anwendung, die den Zugriff auf oder das Überschreiben von kritischen Dateien ermöglicht, um Code auszuführen
CVE-2021-38452 (CVSS-Score: 7.5) – Eine Path-Traversal-Schwachstelle in der Anwendung, die den Zugriff auf oder das Überschreiben von kritischen Dateien zur Ausführung von Code ermöglicht CVE-2021-38454 (CVSS-Score: 10.0) – Ein falsch konfigurierter Dienst, der Remote-Verbindungen zu MQTT zulässt, wodurch es möglich ist, aus der Ferne zu interagieren und den Kommunikationskanal zu nutzen
(CVSS-Score: 10.0) – Ein falsch konfigurierter Dienst, der Remote-Verbindungen zu MQTT zulässt, so dass es möglich ist, aus der Ferne zu interagieren und den Kommunikationskanal zu nutzen CVE-2021-38456 (CVSS-Score: 9.8) – Verwendung von hart kodierten Passwörtern
(CVSS-Score: 9.8) – Verwendung von hart kodierten Passwörtern CVE-2021-38458 (CVSS-Score: 9.8) – Ein Problem mit der unsachgemäßen Neutralisierung von Spezialelementen, das zur Remote-Ausführung nicht autorisierter Befehle führen kann
(CVSS-Score: 9.8) – Ein Problem mit der unsachgemäßen Neutralisierung spezieller Elemente, das zur entfernten Ausführung nicht autorisierter Befehle führen kann CVE-2021-38460 (CVSS-Score: 7.5) – Ein Fall von Passwort-Leck, das es einem Angreifer ermöglichen kann, Anmeldedaten zu erhalten
Drei der oben genannten Schwachstellen – CVE-2021-38452, CVE-2021-38454 und CVE-2021-38458 – können zusammengenommen dazu führen, dass auf anfälligen MXView-Instanzen mit SYSTEM-Rechten vorautorisierter Remote-Code ausgeführt wird.
In einem hypothetischen Angriffsszenario von Claroty könnte CVE-2021-38452 missbraucht werden, um durch das Auslesen der Konfigurationsdatei gateway-upper.ini an das MQTT-Passwort im Klartext zu gelangen, gefolgt von der Ausnutzung von CVE-2021-38454, um betrügerische MQTT-Nachrichten zu injizieren und so eine Codeausführung durch Befehlsinjektion auf dem Server zu erreichen.
„Ein Angreifer injiziert böswillige Nachrichten direkt in den MQTT-Broker und umgeht dabei die vom Server durchgeführte Eingabevalidierung, so dass er über die OS Command Injection-Schwachstelle beliebigen Remote-Code ausführen kann“, erklärt Moshe.