Meer dan twintig fouten geïdentificeerd in industriële Wi-Fi-toegangspunten van Advantech – zo snel mogelijk patchen

Er zijn bijna twintig beveiligingskwetsbaarheden onthuld in Advantech EKI industriële draadloze toegangspuntapparaten, waarvan sommige kunnen worden bewapend om authenticatie te omzeilen en code uit te voeren met verhoogde rechten.

“Deze kwetsbaarheden brengen aanzienlijke risico’s met zich mee, waardoor niet-geverifieerde code op afstand kan worden uitgevoerd met rootrechten, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van de getroffen apparaten volledig in gevaar komen”, zei cyberbeveiligingsbedrijf Nozomi Networks in een analyse van woensdag.

Na verantwoorde openbaarmaking zijn de zwakke punten verholpen in de volgende firmwareversies:

  • 1.6.5 (voor EKI-6333AC-2G en EKI-6333AC-2GD)
  • 1.2.2 (voor EKI-6333AC-1GPO)

Zes van de twintig geïdentificeerde kwetsbaarheden zijn als kritiek aangemerkt, waardoor een aanvaller persistente toegang tot interne bronnen kan verkrijgen door een achterdeur te implanteren, een denial-of-service (DoS)-toestand kan activeren en zelfs geïnfecteerde eindpunten kan hergebruiken als Linux-werkstations om laterale verplaatsing mogelijk te maken. en verdere netwerkpenetratie.

Van de zes kritieke tekortkomingen hebben er vijf (van CVE-2024-50370 tot en met CVE-2024-50374, CVSS-scores: 9,8) betrekking op onjuiste neutralisatie van speciale elementen die worden gebruikt in een besturingssysteem (OS)-opdracht, terwijl CVE-2024-50375 ( CVSS-score: 9,8) betreft een geval van ontbrekende authenticatie voor een kritische functie.

Ook opmerkelijk is CVE-2024-50376 (CVSS-score: 7,3), een cross-site scriptingfout die zou kunnen worden geketend aan CVE-2024-50359 (CVSS-score: 7,2), een ander exemplaar van OS-opdrachtinjectie waarvoor anders authenticatie nodig zou zijn , om willekeurige code-uitvoering via de ether te bereiken.

Om deze aanval succesvol te laten zijn, is het echter nodig dat de externe kwaadwillende gebruiker zich fysiek in de buurt van het Advantech-toegangspunt bevindt en een frauduleus toegangspunt uitzendt.

Industriële Wi-Fi-toegangspunten

De aanval wordt geactiveerd wanneer een beheerder de sectie ‘Wi-Fi Analyzer’ in de webapplicatie bezoekt, waardoor de pagina automatisch informatie insluit die wordt ontvangen via bakenframes die door de aanvaller worden uitgezonden zonder enige opschooncontrole.

“Een voorbeeld van zo’n stukje informatie dat een aanvaller via zijn frauduleuze toegangspunt kan uitzenden, is de SSID (gewoonlijk de ‘Wi-Fi-netwerknaam’ genoemd)”, aldus Nozomi Networks. “De aanvaller zou daarom een ​​JavaScript-payload als SSID voor zijn frauduleuze toegangspunt kunnen invoegen en CVE-2024-50376 kunnen misbruiken om een ​​Cross-Site Scripting (XSS)-kwetsbaarheid in de webapplicatie te activeren.”

Het resultaat is de uitvoering van willekeurige JavaScript-code in de context van de webbrowser van het slachtoffer, die vervolgens kan worden gecombineerd met CVE-2024-50359 om opdrachtinjectie op besturingssysteemniveau met rootrechten te bewerkstelligen. Dit zou de vorm kunnen aannemen van een omgekeerde shell die permanente toegang op afstand biedt aan de dreigingsactor.

“Dit zou aanvallers in staat stellen om op afstand controle te krijgen over het aangetaste apparaat, opdrachten uit te voeren en het netwerk verder te infiltreren, gegevens te extraheren of extra kwaadaardige scripts in te zetten”, aldus het bedrijf.

Thijs Van der Does