Esecuzione di iniezione di codice XAML nei client che eseguono Command Client

Descrizione

Quando Command Client avvia una connessione al Command Enterprise Software o a un registratore (compreso il Command Recording Software), scarica ed esegue alcuni oggetti XAML utilizzati per il rendering di parte dell'interfaccia e per fornire dichiarazioni di non responsabilità e termini di servizio. Questi oggetti XAML possono essere utilizzati come vettore di attacco, nelle versioni interessate di Command Client, per eseguire codice dannoso nel sistema in cui viene utilizzato Command Client.

Impatto

Un Command Enterprise Software o un registratore (compreso il software di registrazione di Command) non autorizzato può iniettare codice dannoso nello XAML scaricato, oppure un uomo nel mezzo può intercettarne uno valido, sostituendolo.

Le versioni interessate di Command Client eseguono lo XAML, consentendo l'accesso al sistema in cui viene utilizzato Command Client, esponendo il suo file system e permettendo l'esecuzione di codice dannoso. Tale accesso è limitato ai diritti dell'utente che ha avviato Command Client.

Mitigazioni

L'impatto della vulnerabilità può essere attenuato se l'infrastruttura di rete è protetta contro la presenza di servizi dannosi che agiscono come Command Enterprise Software o un registratore (compreso il Command Recording Software) e la presenza di attacchi man in the middle.

Un'infrastruttura di rete chiusa sarà protetta dagli attacchi provenienti dall'esterno, mentre per quelli che potrebbero provenire dall'interno, il rischio potrebbe essere mitigato utilizzando i certificati 802.1x, supportati nella nostra soluzione, per autenticare l'accesso alla rete.

Soluzione

Aggiornare il Command Client almeno alla versione corretta. L'ultima release è disponibile per il download dal sito web di March Networks o dal March Networks Partner Portal.

L'aggiornamento di Command Enterprise Software ad almeno 2.7.2 e di Command Recording Software ad almeno 2.8.0 imporrà automaticamente l'uso della corrispondente release del client.

Sul nostro Partner Portal, i clienti che utilizzano Command Enterprise Software 2.6.5, 2.7.0 o 2.7.1 troveranno un'utilità di aggiornamento di Command Client 2.7.2 per applicare e distribuire Command Client 2.7.2 dal CES.

Download

L'ultima versione del client è disponibile sul sito web di March Networks https://www.marchnetworks.com/software-downloads/.

Tutte le nostre release software supportate sono disponibili anche sul Partner Portal di March Networks https://partners.marchnetworks.com/support/command-software/command-client/.

Riferimenti

https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3010

Crediti

March Networks desidera ringraziare Joachim Kerschbaumer per averci segnalato questa vulnerabilità.

Revisione

23 March 2020 - Rapporto pubblico iniziale

Esclusione di responsabilità

La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice di settore possono aumentare il rischio associato a una vulnerabilità di sicurezza.

March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei suoi prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .