Investigadores de ciberseguridad revelaron el domingo múltiples vulnerabilidades críticas en el software de monitoreo remoto de estudiantes Netop Vision Pro que un atacante malintencionado podría abusar para ejecutar código arbitrario y apoderarse de computadoras con Windows.
«Estos hallazgos permiten la elevación de privilegios y la ejecución remota de código en última instancia, que podría ser utilizado por un atacante malintencionado dentro de la misma red para obtener el control total sobre los ordenadores de los alumnos,» la amenaza de McAfee Labs de avanzada equipo de investigación , dijo en un análisis.
Las vulnerabilidades, rastreadas como CVE-2021-27192, CVE-2021-27193, CVE-2021-27194 y CVE-2021-27195, se informaron a Netop el 11 de diciembre de 2020, después de lo cual la empresa con sede en Dinamarca solucionó los problemas. en una actualización (versión 9.7.2) lanzada el 25 de febrero.
«La versión 9.7.2 de Vision y Vision Pro es una versión de mantenimiento que soluciona varias vulnerabilidades, como el aumento de los privilegios locales que envían información confidencial en texto plano», afirmó la compañía en sus notas de lanzamiento.
Netop cuenta con la mitad de las empresas Fortune 100 entre sus clientes y conecta a más de 3 millones de profesores y estudiantes con su software. Netop Vision Pro permite a los maestros realizar tareas de forma remota en las computadoras de los estudiantes, como monitorear y administrar sus pantallas en tiempo real, restringir el acceso a una lista de sitios web permitidos, iniciar aplicaciones e incluso redirigir la atención de los estudiantes cuando están distraídos.
Durante el curso de la investigación de McAfee, se descubrieron varias fallas de diseño, que incluyen:
- CVE-2021-27194: todo el tráfico de red entre el profesor y el alumno se envía sin cifrar y en texto sin cifrar (p. Ej., Credenciales de Windows y capturas de pantalla) sin la posibilidad de habilitarlo durante la configuración. Además, las capturas de pantalla se envían al maestro tan pronto como se conectan a un aula para permitir el monitoreo en tiempo real.
- CVE-2021-27195: un atacante puede monitorear el tráfico no cifrado para hacerse pasar por un maestro y ejecutar código de ataque en las máquinas de los estudiantes modificando el paquete que contiene la aplicación exacta que se ejecutará, como inyectar scripts de PowerShell adicionales.
- CVE-2021-27192 – Un botón de «Soporte técnico» en el menú «Acerca de» de Netop se puede aprovechar para obtener una escalada de privilegios como usuario del «sistema» y ejecutar comandos arbitrarios, reiniciar Netop y apagar la computadora.
- CVE-2021-27193: una falla de privilegio en el complemento de chat de Netop podría explotarse para leer y escribir archivos arbitrarios en un «directorio de trabajo» que se usa como ubicación para colocar todos los archivos enviados por el instructor. Peor aún, esta ubicación de directorio se puede cambiar de forma remota para sobrescribir cualquier archivo en la PC remota, incluidos los ejecutables del sistema.
CVE-2021-27193 también tiene una calificación de 9.5 de un máximo de 10 en el sistema de calificación CVSS, lo que la convierte en una vulnerabilidad crítica.
Huelga decir que las consecuencias de tal explotación podrían ser devastadoras. Van desde la implementación de ransomware hasta la instalación de software de registro de teclas y el encadenamiento de CVE-2021-27195 y CVE-2021-27193 para vigilar las cámaras web de las computadoras individuales que ejecutan el software, advirtió McAfee.
Si bien la mayoría de las vulnerabilidades se han solucionado, las correcciones implementadas por Netop aún no abordan la falta de cifrado de red, que se espera que se implemente en una actualización futura.
«Un atacante no tiene que comprometer la red de la escuela; todo lo que necesita es encontrar cualquier red donde este software sea accesible, como una biblioteca, cafetería o red doméstica», dijeron los investigadores Sam Quinn y Douglas McKee. «No importa dónde se vea comprometida una de las PC de estos estudiantes, ya que un malware bien diseñado podría permanecer inactivo y escanear cada red a la que se conecta la PC infectada hasta que encuentre otras instancias vulnerables de Netop Vision Pro para propagar aún más la infección».
«Una vez que estas máquinas se han visto comprometidas, el atacante remoto tiene el control total del sistema, ya que heredan los privilegios del sistema. Nada en este punto podría evitar que un atacante que se ejecuta como ‘sistema’ acceda a archivos, finalice cualquier proceso o cause estragos en la máquina comprometida «, agregaron.
Los hallazgos se producen en un momento en que la agencia de investigación de Estados Unidos, el Buró Federal, advirtió la semana pasada sobre un aumento en los ataques de ransomware PYSA (también conocido como Mespinoza) dirigidos a instituciones educativas en 12 estados de Estados Unidos y el Reino Unido.
Le hemos pedido a Netop más detalles sobre las actualizaciones de seguridad y actualizaremos este artículo tan pronto como recibamos una respuesta.
Fuente: thehackernews.com