image

Nederlandse onderzoekers vinden kritieke lekken in MSP-platform ITarian

donderdag 9 juni 2022, 14:44 door Redactie, 3 reacties

Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben opnieuw kritieke kwetsbaarheden gevonden in een platform dat managed serviceproviders (MSP's) gebruiken voor het beheren van de systemen van hun klanten. Via de kwetsbaarheden in ITarian kan een aanvaller toegang tot de beheerdersinterface krijgen en kwaadaardige code op alle clients uitvoeren.

De beveiligingslekken werden gevonden in de on-premis en SaaS-versies van ITarian en de Endpoint Manager Communication Client voor Windows. Door het combineren van de verschillende kwetsbaarheden kan een aanvaller een helpdeskticket aanmaken dat wanneer bekeken door een gebruiker met een geldig sessietoken code op alle clients met superuser-rechten uitvoert. ITarian werd op 6 januari over de beveiligingslekken ingelicht.

Volgens het DIVD verliep de communicatie met ITarian moeizaam, maar zijn de kwetsbaarheden in de SaaS-versie en Agent-software verholpen. Twee kwetsbaarheden, CVE-2022-25151 en CVE-2022-25152, waardoor een aanvaller toegang tot de beheerdersinterface kan krijgen en code op alle agents kan uitvoeren, zijn nog steeds aanwezig in de on-premise versie van het ITarian-platform. De impact van CVE-2022-25152 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9.

De on-premise versie wordt al meer dan twee jaar niet meer door ITarian ondersteund, maar nog wel door het bedrijf als download aangeboden. Aangezien de software end-of-life is zal ITarian hiervoor geen patches uitbrengen. Vanwege de impact van de kwetsbaarheden en de mogelijkheden die het platform biedt adviseert het DIVD om een alternatieve oplossing te zoeken, de on-premise oplossing los te koppelen van het internet en niet te vertrouwen op het permissie- en toestemmingsmodel dat in ITarian zit verwerkt.

Onderzoekers van het DIVD ontdekten eerder ook kritieke kwetsbaarheden in de MSP-software van Kaseya. Eén van deze beveiligingslekken werd uiteindelijk bij een wereldwijde ransomware-aanval op MSP-klanten gebruikt.

Reacties (3)
09-06-2022, 17:51 door Anoniem
Ik zou echt nooit een kwetsbaarheid melden via DIVD, ze stelen zelf alle credit voor deze bevinding en noemen de molders niet eens bij naam... schandalig.

Niet om de DIVD te bashen maar het is echt obvious dat ze een dubbel agenda hebben om hun zelf te promoten aan de hand van andermans werk , gewoon triest.

Maar dat krijg je ervan als bijna hele bestuur niet uit specialisten maar uit mediageile journalisten & ciso's bestaat
10-06-2022, 06:31 door Anoniem
Door Anoniem: Ik zou echt nooit een kwetsbaarheid melden via DIVD, ze stelen zelf alle credit voor deze bevinding en noemen de molders niet eens bij naam... schandalig.

Niet om de DIVD te bashen maar het is echt obvious dat ze een dubbel agenda hebben om hun zelf te promoten aan de hand van andermans werk , gewoon triest.

Maar dat krijg je ervan als bijna hele bestuur niet uit specialisten maar uit mediageile journalisten & ciso's bestaat

Verklaar je nader, svp. Voorbeelden?
12-06-2022, 20:54 door Anoniem
Door Anoniem: Ik zou echt nooit een kwetsbaarheid melden via DIVD, ze stelen zelf alle credit voor deze bevinding en noemen de molders niet eens bij naam... schandalig.

Niet om de DIVD te bashen maar het is echt obvious dat ze een dubbel agenda hebben om hun zelf te promoten aan de hand van andermans werk , gewoon triest.

Maar dat krijg je ervan als bijna hele bestuur niet uit specialisten maar uit mediageile journalisten & ciso's bestaat
Uit ervaring kan ik zeggen dat ze er juist veel netter mee omgaan dan bijvoorbeeld het NCSC, ze pakken de shit gewoon op ipv alleen maar burocratisch af te gaan zitten wachten...

Inderdaad, verklaar je nader of hou je mond.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.