Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben opnieuw kritieke kwetsbaarheden gevonden in een platform dat managed serviceproviders (MSP's) gebruiken voor het beheren van de systemen van hun klanten. Via de kwetsbaarheden in ITarian kan een aanvaller toegang tot de beheerdersinterface krijgen en kwaadaardige code op alle clients uitvoeren.

De beveiligingslekken werden gevonden in de on-premis en SaaS-versies van ITarian en de Endpoint Manager Communication Client voor Windows. Door het combineren van de verschillende kwetsbaarheden kan een aanvaller een helpdeskticket aanmaken dat wanneer bekeken door een gebruiker met een geldig sessietoken code op alle clients met superuser-rechten uitvoert. ITarian werd op 6 januari over de beveiligingslekken ingelicht.

Volgens het DIVD verliep de communicatie met ITarian moeizaam, maar zijn de kwetsbaarheden in de SaaS-versie en Agent-software verholpen. Twee kwetsbaarheden, CVE-2022-25151 en CVE-2022-25152, waardoor een aanvaller toegang tot de beheerdersinterface kan krijgen en code op alle agents kan uitvoeren, zijn nog steeds aanwezig in de on-premise versie van het ITarian-platform. De impact van CVE-2022-25152 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9.

De on-premise versie wordt al meer dan twee jaar niet meer door ITarian ondersteund, maar nog wel door het bedrijf als download aangeboden. Aangezien de software end-of-life is zal ITarian hiervoor geen patches uitbrengen. Vanwege de impact van de kwetsbaarheden en de mogelijkheden die het platform biedt adviseert het DIVD om een alternatieve oplossing te zoeken, de on-premise oplossing los te koppelen van het internet en niet te vertrouwen op het permissie- en toestemmingsmodel dat in ITarian zit verwerkt.

Onderzoekers van het DIVD ontdekten eerder ook kritieke kwetsbaarheden in de MSP-software van Kaseya. Eén van deze beveiligingslekken werd uiteindelijk bij een wereldwijde ransomware-aanval op MSP-klanten gebruikt.