W oprogramowaniu Fleet do zarządzania urządzeniami wykryto podatność polegającą na braku weryfikacji podpisów JWT w procesie rejestracji Windows MDM. Atakujący może przesłać sfałszowane tokeny uwierzytelniające i zarejestrować nieautoryzowane urządzenia pod dowolną tożsamością użytkownika Azure AD.
▸ Pokaż oryginał (EN)
Fleet is open source device management software. In versions prior to 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3, a vulnerability in Fleet's Windows MDM enrollment flow could allow an attacker to submit forged authentication tokens that are not properly validated. Because JWT signatures were not verified, Fleet could accept attacker-controlled identity claims, enabling enrollment of unauthorized devices under arbitrary Azure AD user identities. Versions 4.78.3, 4.77.1, 4.76.2, 4.75.2, and 4.53.3 fix the issue. If an immediate upgrade is not possible, affected Fleet users should temporarily disable Windows MDM.
Podatność (CWE-347 — brak weryfikacji podpisu kryptograficznego) polega na tym, że Fleet nie weryfikuje podpisów JWT przesyłanych podczas procesu rejestracji Windows MDM. W efekcie system akceptuje tokeny spreparowane przez atakującego zawierające dowolnie wskazane dane tożsamości. Pozwala to na podstawienie fałszywych claimów tożsamościowych powiązanych z dowolnym kontem użytkownika Azure AD i przeprowadzenie rejestracji nieautoryzowanego urządzenia jako zaufanego.
Atakujący może zarejestrować nieautoryzowane urządzenia w systemie Fleet, podszywając się pod dowolnego użytkownika Azure AD, co prowadzi do naruszenia integralności i poufności danych zarządzanych przez platformę MDM.
Należy zaktualizować Fleet do wersji 4.78.3, 4.77.1, 4.76.2, 4.75.2 lub 4.53.3, w zależności od używanej gałęzi. Jeśli natychmiastowa aktualizacja nie jest możliwa, producent zaleca tymczasowe wyłączenie funkcji Windows MDM.
Fleetdm Fleet w wersjach wcześniejszych niż 4.78.3, 4.77.1, 4.76.2, 4.75.2 oraz 4.53.3
Producent wskazuje konkretne obejście (workaround): tymczasowe wyłączenie Windows MDM do czasu wdrożenia patcha. Poprawka dostępna w ramach wielu równoległych gałęzi wydaniowych.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFleetdm Fleet
APPFleetdm4.77.0< 4.53.34.75.0 – 4.75.2 (bez)4.76.0 – 4.76.2 (bez)4.78.0 – 4.78.3 (bez)
Powiązane podatności
Fleet is an open source osquery manager. In Fleet before version 3.5.1, due to issues in Go's standard library...
Fleet is open source device management software. Prior to version 4.82.0, a vulnerability in Fleet's Windows M...
Fleet is open source device management software. Prior to version 4.81.0, Fleet contained a denial-of-service ...
Fleet is open source device management software. Prior to version 4.81.0, a vulnerability in Fleet’s Windows M...
Fleet is open source device management software. Prior to 4.81.1, the Orbit agent's FileVault disk encryption ...