Podatność w mechanizmie uwierzytelniania hasła vault w Devolutions Remote Desktop Manager 2024.1.31.0 i wcześniejszych umożliwia atakującemu pominięcie zabezpieczeń master password. Jest to krytyczne zagrożenie, ponieważ może prowadzić do uzyskania pełnego dostępu do przechowywanych poświadczeń i połączeń.
▸ Pokaż oryginał (EN)
Improper authentication in the vault password feature in Devolutions Remote Desktop Manager 2024.1.31.0 and earlier allows an attacker that has compromised an access to an RDM instance to bypass the vault master password via the offline mode feature.
Podatność wynika z nieprawidłowej implementacji uwierzytelniania (CWE-287) w funkcji hasła vault. Atakujący, który uzyskał dostęp do instancji Remote Desktop Manager, może skorzystać z funkcji trybu offline (offline mode), aby ominąć weryfikację master password chroniącego vault. W ten sposób możliwe jest uzyskanie dostępu do zaszyfrowanych zasobów bez znajomości właściwego hasła.
Atakujący z przejętym dostępem do instancji RDM może uzyskać pełny dostęp do zawartości vault — w tym przechowywanych poświadczeń, konfiguracji połączeń i innych wrażliwych danych — bez konieczności podania prawidłowego master password.
Należy zaktualizować Devolutions Remote Desktop Manager do wersji nowszej niż 2024.1.31.0. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym biuletynie bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2024-0008
Devolutions Remote Desktop Manager w wersji 2024.1.31.0 oraz wszystkich wcześniejszych wersjach.
Podatność wymaga uprzedniego przejęcia dostępu do instancji RDM — nie jest to atak zdalny bez żadnego wstępnego dostępu, mimo że wektor CVSS wskazuje AV:N/PR:N. Należy to uwzględnić przy ocenie rzeczywistego ryzyka w środowisku organizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Remote Desktop Manager
APPDevolutions< 2024.1.32.0
Powiązane podatności
Błędne egzekwowanie zakazu zapisywania haseł w Devolutions Remote Desktop Manager
Pomijanie uprawnień po stronie klienta w Devolutions Remote Desktop Manager na iOS
Improper access control in the password analyzer feature in Devolutions Remote Desktop Manager 2023.2.33 and e...
A remote code execution vulnerability in Remote Desktop Manager 2023.2.33 and earlier on Windows allows an a...
Inadequate validation of permissions when employing remote tools and macros within Devolutions Remote Desktop...