Vulnerabilidades potencialmente graves encontradas na funcionalidade “USB Over Ethernet”, desenvolvida pela empresa Eltima, como parte do software USB Network Gate, afetaram vários serviços de nuvem, de acordo com a empresa de segurança de endpoint SentinelOne.

A SentinelOne descobriu que as vulnerabilidades no kit de desenvolvimento de software (SDK) da Eltima para rede virtual, que é usado por várias soluções de provedores de nuvem, pode permitir que um invasor execute código malicioso no kernel por meio de um estouro de buffer para obter altos privilégios.

USB Over Ethernet, o que é?

A funcionalidade “USB Over Ethernet” faz parte de um produto chamado USB Network Gate, que permite “compartilhar de forma eficiente vários dispositivos USB através da rede (TCP/IP) e se conectar a eles em máquinas remotas como se os dispositivos estivessem fisicamente conectados aos computadores, independente da localização ou distância entre eles”, conforma consta no site da Eltima.

No Amazon WorkSpaces, explica a SentinelOne, a biblioteca permite que os usuários redirecionem os dispositivos USB para poderem conectá-los diretamente a partir de uma área de trabalho remota”.

Leia este post: Malwares para minerar criptomoedas são disseminados por dispositivos USB

A vulnerabilidade

Dois drivers (wspvuhub.sys e wspusbfilter.sys) são responsáveis pelo redirecionamento e que podem estar vulneráveis, desde o início de 2020, afirmam os pesquisadores da SentinelOne.

A empresa de segurança descobriu as brechas nos manipuladores de controle de E/S (IOCTL) encarregados de “validar, sondar, bloquear e mapear o próprio buffer, dependendo do caso de uso” e que são iguais em todos os produtos vulneráveis.

Essas vulnerabilidades permitem que os invasores aumentem os privilégios, permitindo-lhes desabilitar produtos de segurança, sobrescrever componentes do sistema, corromper o sistema operacional ou realizar operações maliciosas sem restrições”, explicam os pesquisadores de segurança.

A SentinelOne relatou as vulnerabilidades aos fornecedores no segundo trimestre deste ano, o que resultou emissão de um total de 27 identificadores CVE, sendo eles: CVE-2021-42972, CVE-2021-42973, CVE-2021-42976, CVE-2021-42977, CVE-2021-42979, CVE-2021-42980, CVE-2021-42983, CVE-2021-42986, CVE-2021-42987, CVE-2021-42988, CVE-2021-42990, CVE-2021-42993, CVE-2021-42994, CVE-2021-42996, CVE-2021-43000, CVE-2021-43002, CVE-2021-43003, CVE-2021-43006, CVE-2021-43637, CVE-2021-43638, CVE-2021-42681, CVE-2021-42682, CVE-2021-42683, CVE-2021-42685, CVE-2021-42686, CVE-2021-42687, CVE-2021-42688.

Produtos afetados

Os seguintes serviços de nuvem foram afetados:

  • Amazon Nimble Studio AMI, antes de: 29/07/2021
  • Amazon NICE DCV, antes de: 2021.1.7744 (Windows), 2021.1.3560 (Linux), 2021.1.3590 (Mac), 30/07/2021
  • Amazon WorkSpaces agent, antes de: v1.0.1.1537, 2021/07/31
  • Amazon AppStream client antes de: 1.1.304, 2021/08/02
  • NoMachine [todos os produtos para Windows], superior à v4.0.346, antes de v.7.7.4 (versões 6.x também estão sendo atualizadas)
  • Accops HyWorks Client for Windows: versão v3.2.8.180 ou anterior
  • Accops HyWorks DVM Tools for Windows: versão 3.3.1.102 ou anterior (parte do produto Accops HyWorks, anterior à versão 3.3 R3)
  • Eltima USB Network Gate, antes de 9.2.2420, superior à 7.0.1370
  • Amzetta zPortal Windows zClient versão 3.2.8180.148 ou anterior
  • Amzetta zPortal DVM Tools versão 3.3.148.148 ou anterior
  • FlexiHub below 5.2.14094 (mais recente) superior à 3.3.11481
  • Donglify below 1.7.14110 (mais recente) superior à 1.0.12309

As atualizações de segurança foram lançadas para corrigir todas as vulnerabilidades identificadas, com algumas das correções sendo aplicadas automaticamente.

A SentinelOne diz que, embora seu teste tenha sido limitado a uma parcela de fornecedores, outros que contam com as mesmas bibliotecas vulneráveis também podem ter sido afetados. No entanto, nenhuma das falhas parece ser explorada em campanhas de ataque.

Referências

https://www.darkreading.com/vulnerabilities-threats/virtual-network-vulnerability-found-in-aws-other-clouds

https://www.securityweek.com/usb-over-ethernet-driver-vulnerabilities-affected-major-cloud-services

https://thehackernews.com/2021/12/eltima-sdk-contain-multiple.html

https://www.sentinelone.com/labs/usb-over-ethernet-multiple-privilege-escalation-vulnerabilities-in-aws-and-other-major-cloud-services/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...