В Microsoft Azure Defender для IoT исправлены критические уязвимости

[Artifact]

Уязвимости позволяли неавторизованным хакерам взламывать устройства и захватывать контроль над сетями.
Компания SentinelOne на этой неделе раскрыла ряд уязвимостей в Microsoft Azure Defender для IoT, в том числе две критические. Уязвимости, на исправление которых у Microsoft ушло шесть месяцев, позволяли неавторизованным злоумышленникам взламывать устройства и захватывать контроль над сетями критической инфраструктуры.
Решение безопасности Microsoft Azure Defender для IoT должно выявлять и блокировать подозрительную активность, а также обнаруживать известные уязвимости и управлять инвентаризацией обновлений и оборудования в IoT-системах и АСУ ТП. Энергетические компании и другие пользователи могут развертывать его как локально, так и для устройств, подключенных к Azure.
Раскрытые на этой неделе уязвимости уже все исправлены, и никаких признаков их эксплуатации в хакерских атаках обнаружено не было.
«Успешная атака может привести к полной компрометации сети, поскольку Azure Defender For IoT сконфигурирован таким образом, чтобы TAP (Terminal Access Point) была в сетевом трафике. Доступ к чувствительной информации в сети может привести к ряду сложных сценариев атак, которые будет трудно или даже невозможно обнаружить», - пояснили исследователи SentinelLabs.
Две критические уязвимости в Defender для IoT, CVE-2021-42311 и CVE-2021-42313, позволяют осуществлять SQL-инъекции и получили 10 баллов из 10 по шкале оценивания опасности уязвимостей.
Для эксплуатации CVE-2021-42311 не требуется аутентификация, поскольку нужный для этого «секретный» токен API является общим для всех установок Defender для по всему миру. То же самое касается CVE-2021-42313, которая также позволяет осуществлять SQL-инъекцию без аутентификации, поскольку параметр UUID не проверяется должным образом перед его использованием в SQL-запросе.
Уязвимость CVE-2021-42310, отмеченная как высокоопасная, затрагивает механизм восстановления паролей в Defender для IoT. Злоумышленник может осуществить атаку TOCTOU (time-of-check-time-of-use – время проверки/время использования) для сброса пароля к устройству и получения нового без аутентификации.
Четвертая уязвимость, CVE-2021-42312, также затрагивает механизм восстановления пароля и позволяет выполнить код с помощью внедрения команд.
Уязвимость CVE-2021-37222 присутствует в фреймворке для обработки пакетов RCDCap с открытым исходным кодом.