Hampir dua lusin kerentanan keamanan telah terungkap di perangkat titik akses nirkabel kelas industri Advantech EKI, beberapa di antaranya dapat digunakan untuk melewati otentikasi dan mengeksekusi kode dengan hak istimewa yang lebih tinggi.
“Kerentanan ini menimbulkan risiko yang signifikan, memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi dengan hak akses root, sehingga sepenuhnya membahayakan kerahasiaan, integritas, dan ketersediaan perangkat yang terpengaruh,” kata perusahaan keamanan siber Nozomi Networks dalam analisisnya pada hari Rabu.
Setelah pengungkapan yang bertanggung jawab, kelemahan telah diatasi pada versi firmware berikut –
- 1.6.5 (untuk EKI-6333AC-2G dan EKI-6333AC-2GD)
- 1.2.2 (untuk EKI-6333AC-1GPO)
Enam dari 20 kerentanan yang teridentifikasi telah dianggap kritis, memungkinkan penyerang mendapatkan akses terus-menerus ke sumber daya internal dengan menanamkan pintu belakang, memicu kondisi penolakan layanan (DoS), dan bahkan menggunakan kembali titik akhir yang terinfeksi sebagai stasiun kerja Linux untuk memungkinkan pergerakan lateral. dan penetrasi jaringan lebih lanjut.
Dari enam kelemahan kritis, lima (dari CVE-2024-50370 hingga CVE-2024-50374, skor CVSS: 9.8) berkaitan dengan netralisasi elemen khusus yang tidak tepat yang digunakan dalam perintah sistem operasi (OS), sedangkan CVE-2024-50375 ( Skor CVSS: 9,8) menyangkut kasus hilangnya otentikasi untuk fungsi penting.
Yang juga perlu diperhatikan adalah CVE-2024-50376 (skor CVSS: 7.3), cacat skrip lintas situs yang dapat dihubungkan dengan CVE-2024-50359 (skor CVSS: 7.2), contoh lain dari injeksi perintah OS yang seharusnya memerlukan otentikasi , untuk mencapai eksekusi kode arbitrer melalui udara.
Oleh karena itu, agar serangan ini berhasil, pengguna jahat eksternal harus berada dalam jarak fisik yang dekat dengan titik akses Advantech dan menyiarkan titik akses jahat.
Serangan ini diaktifkan ketika administrator mengunjungi bagian “Wi-Fi Analyzer” di aplikasi web, menyebabkan halaman tersebut secara otomatis menyematkan informasi yang diterima melalui bingkai suar yang disiarkan oleh penyerang tanpa pemeriksaan sanitasi apa pun.
“Salah satu informasi yang dapat disiarkan oleh penyerang melalui titik akses jahatnya adalah SSID (biasanya disebut sebagai 'nama jaringan Wi-Fi'),” kata Nozomi Networks. Oleh karena itu, penyerang dapat memasukkan payload JavaScript sebagai SSID untuk titik akses jahatnya dan mengeksploitasi CVE-2024-50376 untuk memicu kerentanan Cross-Site Scripting (XSS) di dalam aplikasi web.
Hasilnya adalah eksekusi kode JavaScript arbitrer dalam konteks browser web korban, yang kemudian dapat digabungkan dengan CVE-2024-50359 untuk mencapai injeksi perintah di tingkat OS dengan hak akses root. Ini bisa berupa shell terbalik yang menyediakan akses jarak jauh yang persisten ke pelaku ancaman.
“Ini akan memungkinkan penyerang mendapatkan kendali jarak jauh atas perangkat yang disusupi, menjalankan perintah, dan menyusup lebih jauh ke dalam jaringan, mengekstraksi data atau menyebarkan skrip berbahaya tambahan,” kata perusahaan itu.