Ένα κρίσιμο ελάττωμα ασφαλείας στο Forcepoint One DLP Client έχει αποκαλυφθεί, επιτρέποντας στους εισβολείς να παρακάμπτουν τους περιορισμούς Python που εφαρμόζει ο προμηθευτής και να εκτελούν αυθαίρετο κώδικα στα τελικά σημεία της επιχείρησης.
Η ευπάθεια, η οποία εντοπίζεται ως CVE-2025-14026, υπονομεύει τους ελέγχους ασφαλείας πρόληψης απώλειας δεδομένων που έχουν σχεδιαστεί για την προστασία ευαίσθητων οργανωτικών δεδομένων.
Η έκδοση 23.04.5642 του προγράμματος-πελάτη Forcepoint One DLP και οι δυνητικά επόμενες εκδόσεις αποστέλλονται με περιορισμένο χρόνο εκτέλεσης Python 2.5.4 που σκοπίμως παρέλειψε τη βιβλιοθήκη διεπαφής ξένων λειτουργιών ctypes (FFI).
Αυτός ο περιορισμός είχε σκοπό να αποτρέψει την εκτέλεση κακόβουλου κώδικα. Ωστόσο, ο ερευνητής ασφαλείας Keith Lee έδειξε μια πλήρη παράκαμψη αυτού του μηχανισμού προστασίας.
Οι εισβολείς μπορούν να επαναφέρουν τη λειτουργικότητα ctypes μεταφέροντας μεταγλωττισμένες εξαρτήσεις ctypes από άλλο σύστημα και εφαρμόζοντας μια ενημερωμένη έκδοση κώδικα έκδοσης-κεφαλίδας στη λειτουργική μονάδα ctypes.pyd.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-14026 |
| Προϊόν που επηρεάζεται | Πελάτης Forcepoint One DLP |
| Έκδοση που επηρεάζεται | 23.04.5642 και πιθανώς επόμενες εκδόσεις |
| Τύπος ευπάθειας | Παράκαμψη περιορισμών ασφαλείας / Αυθαίρετη εκτέλεση κώδικα |
| Διάνυσμα επίθεσης | Τοπικό με ενημερωμένη έκδοση κώδικα ctypes.pyd |
Μόλις επιδιορθωθεί και τοποθετηθεί σωστά στη διαδρομή αναζήτησης, το περιβάλλον Python που είχε περιοριστεί προηγουμένως φορτώνει με επιτυχία ctypes.
Ενεργοποίηση άμεσης επίκλησης αρχείων DLL, χειρισμού μνήμης και εκτέλεσης αυθαίρετων ωφέλιμων φορτίων κελύφους ή βασισμένων σε DLL. Η ευπάθεια εγκυμονεί σημαντικούς κινδύνους για την υποδομή ασφάλειας των επιχειρήσεων.
Η αυθαίρετη εκτέλεση κώδικα εντός του προγράμματος-πελάτη DLP μπορεί να επιτρέψει στους εισβολείς να παρεμβαίνουν ή να παρακάμπτουν την επιβολή αποτροπής απώλειας δεδομένων, να αλλάζουν τη συμπεριφορά του πελάτη ή να απενεργοποιούν τις λειτουργίες παρακολούθησης ασφαλείας.
Επειδή ο πελάτης λειτουργεί ως κρίσιμος έλεγχος ασφαλείας στα τελικά σημεία της επιχείρησης, η επιτυχής εκμετάλλευση μπορεί να μειώσει σημαντικά την αποτελεσματικότητα των προστασιών DLP και να αποδυναμώσει τη συνολική ασφάλεια του συστήματος.
Το Forcepoint αναγνώρισε την ευπάθεια και επιβεβαίωσε ότι ο ευάλωτος χρόνος εκτέλεσης Python έχει αφαιρεθεί από τις εκδόσεις Forcepoint One Endpoint ξεκινώντας με την έκδοση 23.11, ως μέρος του Forcepoint DLP v10.2.
CERT/CC συμβουλεύει οργανισμούς να αναβαθμίσουν σε εκδόσεις τελικού σημείου που δεν περιλαμβάνουν πλέον το python.exe αμέσως.
Οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στην ανάπτυξη διορθωμένων εκδόσεων σε όλα τα τελικά σημεία της επιχείρησης για την αποκατάσταση της ακεραιότητας της προστασίας DLP.
