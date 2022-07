Mobile device management (MDM) servers van leverancier FileWave zijn dankzij een kwetsbaarheid op afstand over te nemen, waardoor een aanvaller vervolgens onder alle beheerde smartphones en computers malware kan uitrollen of data kan stelen. Onderzoekers van securitybedrijf Claroty vonden ruim duizend FileWave MDM-servers die vanaf internet toegankelijk zijn. FileWave heeft wel een update uitgebracht, maar daarin wordt het probleem niet duidelijk vermeld.

Via het MDM-platform kunnen beheerders de configuratie van apparaten beheren, locaties inzien, beveiligingsinstellingen aanpassen en data benaderen. Ook is het mogelijk om updates of applicaties uit te rollen, systemen te vergrendelen of op afstand apparaten te wissen. Onderzoekers ontdekten twee kwetsbaarheden in FileWave's MDM-oplossing, een authentication bypass en hard-coded cryptographic key, waardoor een aanvaller op afstand de authenticatie kan omzeilen om vervolgens als super-user ingelogd te worden.

De FileWave MDM-oplossing maakt gebruik van een scheduler die zich via een "shared secret" bij de webserver authenticeert. Door dit shared secret met een request mee te sturen is het mogelijk om zonder gebruikersnaam en account toegang tot de server te krijgen en als super-user te worden ingelogd. Deze gebruiker heeft binnen de MDM-oplossing de hoogste rechten en maakt het mogelijk om allerlei zaken met beheerde smartphones en laptops te doen. Op internet werden meer dan elfhonderd FileWave-servers gevonden.

Claroty waarschuwde FileWave dat de problemen in versie 14.7.2 van de software verhielp. In de release notes staan de kwetsbaarheden CVE-2022-34906 en CVE-2022-34907 echter niet vermeld en wordt er ook geen melding van "security fixes" gemaakt.