FileWave MDM es una solución de administración de dispositivos móviles multiplataforma que permite a los administradores de TI administrar, monitorear y ver todos los dispositivos de la empresa. MDM admite una amplia gama de dispositivos, desde teléfonos inteligentes iOS y Android, tabletas MacOS y Windows, computadoras portátiles y dispositivos inteligentes como televisores.
A través de MDM, los administradores pueden ver y administrar configuraciones de dispositivos, ubicaciones, configuraciones de seguridad, enviar software obligatorio y actualizaciones a los dispositivos, cambiar configuraciones de dispositivos, bloquear y, cuando sea necesario, borrar dispositivos de forma remota. Un actor de amenazas que pueda hackear el MDM estaría en una posición poderosa para controlar todos los dispositivos, lo que permitiría al atacante comprometer datos confidenciales como el número de serie de un dispositivo, la dirección de correo electrónico y el nombre completo del usuario, la dirección, las coordenadas de ubicación geográfica, Dirección IP, códigos PIN del dispositivo, etc. Además, los actores de amenazas podrían explotar las capacidades de MDM para instalar malware, ransomware o puertas traseras, e incluso obtener acceso al dispositivo directamente a través de protocolos de control remoto.
Durante la investigación, los expertos pudieron identificar vulnerabilidades críticas en el proceso de autenticación de la suite de productos FileWave MDM, lo que puede permitir a un hackear crear un exploit que elude los requisitos de autenticación en la plataforma y lograr acceso de administrador a la plataforma. Al explotar esta vulnerabilidad de omisión de autenticación, los investigadores pudieron tomar el control total de cualquier servidor MDM conectado a Internet. En la investigación, descubrieron más de 1100 de estos servidores, cada uno con cientos de dispositivos administrados. Claroty Team82 ha revelado dos vulnerabilidades críticas, CVE-2022-34907 y CVE-2022-34906, en el sistema de gestión de dispositivos móviles (MDM) de FileWave. Las vulnerabilidades se pueden explotar de forma remota y permiten que un actor de amenazas eluda los mecanismos de autenticación y obtenga el control total.
- CVE-2022-34907, existe una falla de omisión de autenticación en FileWave MDM antes de la versión 14.6.3 y 14.7.x, antes de la 14.7.2.
- CVE-2022-34906, una clave criptográfica codificada, existe en FileWave MDM antes de la versión 14.6.3 y 14.7.x, antes de la 14.7.2.
Para mostrar esta vulnerabilidad y el daño que puede causar, el equipo creó una configuración estándar de FileWave e inscribió 6 dispositivos. Luego, usar esta vulnerabilidad les permitió atacar e infectar fácilmente todas las instancias accesibles a Internet administradas por FileWave MDM, a continuación, lo que permitió el control total de todos los dispositivos administrados, obteniendo acceso a las redes domésticas personales de los usuarios, las redes internas de las organizaciones y mucho más.
Por último, instalaron paquetes maliciosos en cada dispositivo controlado e instalaron un virus ransomware falso en cada uno de esos dispositivos administrados.
FileWave corrigió la vulnerabilidad en la versión 14.7.2, que se lanzó a principios de este mes.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.