CVE-2022-32290

Northern.tech Mender, versões 3.2.0 a 3.2.2

O cliente do Northern.tech Mender apresenta um controle de acesso incorreto. Ele escuta em uma porta TCP aleatória e sem privilégios e expõe um proxy HTTP para facilitar chamadas de API de componentes de cliente adicionais em execução no dispositivo. No entanto, ele escuta em todas as interfaces de rede, em vez de apenas na interface localhost. Portanto, qualquer cliente na mesma rede pode se conectar a essa porta TCP e enviar solicitações HTTP. O cliente Mender encaminhará essas solicitações para o servidor Mender. Além disso, se o mTLS estiver configurado, o cliente Mender se conectará ao servidor Mender usando o certificado de cliente do dispositivo, possibilitando que o invasor contorne a autenticação mTLS e envie solicitações ao servidor Mender sem acesso direto ao certificado de cliente e à chave privada relacionada. O acesso ao proxy HTTP a partir da rede local não representa uma ameaça direta, pois não expõe nenhum dado específico do dispositivo ou do servidor. No entanto, aumenta a superfície de ataque e pode ser um vetor potencial para explorar outras vulnerabilidades tanto no Cliente quanto no Servidor.

Para as versões 3.2.0 a 3.2.2, considere restringir o acesso ao proxy HTTP apenas à interface localhost para minimizar o risco de exploração. Como solução temporária, considere desativar o proxy HTTP até que uma correção esteja disponível. Restrinja o acesso ao Mender Server usando o certificado de cliente do dispositivo