NiceHash QuickMiner 6.12.0 miałby pobierać aktualizacje oprogramowania przez HTTP bez weryfikacji podpisów cyfrowych ani sum kontrolnych, co umożliwiałoby atakującemu podmianę pliku aktualizacji na dowolny kod wykonywalny. Warto jednak odnotować, że producent (NiceHash) zaprzecza istnieniu takiego mechanizmu HTTP i kwestionuje prawdziwość opisanego wektora ataku.
▸ Pokaż oryginał (EN)
NiceHash QuickMiner 6.12.0 perform software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update url and can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution. This constitutes a critical supply chain attack vector. NOTE: the Supplier reports that the existence of an http://update.nicehash.com URL is a fabrication, and that there is no other use of HTTP (rather than HTTPS).
Według zgłoszenia podatności, mechanizm automatycznej aktualizacji aplikacji korzysta z niezaszyfrowanego protokołu HTTP, co pozwala atakującemu znajdującemu się na ścieżce sieciowej (man-in-the-middle) na przechwycenie lub przekierowanie ruchu do adresu URL aktualizacji. Brak weryfikacji podpisu cyfrowego ani sumy kontrolnej pobranego pliku oznacza, że podmieniony plik wykonywalny zostałby zainstalowany i uruchomiony automatycznie bez jakiejkolwiek kontroli integralności. Skutkowałoby to pełnym wykonaniem dowolnego kodu (RCE) na maszynie użytkownika bez jego interakcji (zero-click). Producent w notatce do CVE zaprzecza jednak, jakoby adres http://update.nicehash.com w ogóle istniał oraz twierdzi, że aplikacja nie używa HTTP zamiast HTTPS.
Atakujący może uzyskać pełną kontrolę nad systemem ofiary poprzez wykonanie dowolnego kodu z uprawnieniami procesu aktualizatora, co potencjalnie umożliwia instalację złośliwego oprogramowania, kradzież danych lub przejęcie zasobów obliczeniowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na sprzeciw producenta wobec opisanego wektora ataku, zaleca się weryfikację u dostawcy (NiceHash), czy stosowana wersja oprogramowania rzeczywiście korzysta wyłącznie z HTTPS do pobierania aktualizacji. Do czasu wyjaśnienia sporu zaleca się monitorowanie ruchu sieciowego generowanego przez aplikację.
NiceHash QuickMiner w wersji 6.12.0 (zgodnie z opisem zgłoszenia; producent kwestionuje opisany wektor ataku)
Producent NiceHash formalnie zakwestionował ustalenia zgłoszenia, twierdząc że adres http://update.nicehash.com jest wymysłem autora i że aplikacja nie używa niezaszyfrowanego HTTP do aktualizacji. Podatność została opublikowana przez badacza na platformie Medium. Rozbieżność między twierdzeniami zgłaszającego a stanowiskiem producenta powoduje istotną niepewność co do faktycznej eksploatowalności opisanego wektora.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HNicehash Quickminer
APPNicehash6.12.0
Powiązane podatności
An issue was discovered in NiceHash Miner before 2.0.3.0. A missing rate limit while adding a wallet via Email...
An issue was discovered in NiceHash Miner before 2.0.3.0. Missing Authorization allows an adversary to can gai...
A Username Enumeration via Error Message issue was discovered in NiceHash Miner before 2.0.3.0 because an "EMA...