Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Loapi, malvér na ťažbu kryptomeny
Tlačové správy
27.03.2020
Mesačný prehľad za mesiac február 2020
Tlačové správy
05.03.2020
Malvér: Emotet / Trickbot / Ryuk
Tlačové správy
18.02.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Zero-day zraniteľnosť Zoho ManageEngine umožňuje vzdialené vykonávanie kódu

12.03.2020
Služba Zoho ManageEngine Desktop Central, slúžiaca na manažment vzdialených zariadení, nesprávne kontroluje vstupné dáta od používateľa. Takto môže softvér deserializovať nedôveryhodné dáta, čo útočníkovi dáva možnosť vykonávať kód s oprávneniami SYSTEM alebo root bez potreby autentifikácie na zraniteľnom zaradení a prevziať kontrolu nad spravovanými zariadeniami.

 

Dôsledky

  • Vykonávanie ľubovoľného kódu s právami root/system bez autentifikácie
  • Získanie kontroly nad zariadeniami manažovanými cez Zoho ManageEngine Desktop Central

Opis činnosti
CVE-2020-10189

Zoho ManageEngine Desktop Central, slúžiace na manažment vzdialených zariadení nesprávne kontroluje vstupné dáta od používateľa, čo môže viesť k deserializácii nedôveryhodných dát. Zraniteľnosť sa nachádza vo funkcii getChartImage v triede FileStorage zodpovednej za manipuláciu so súbormi. Súbor, ktorý chce používateľ zapísať sa číta bez dôkladnej kontroly použitím metódy readObject, ktorá prijaté dáta deserializuje. Útočník s využitím zraniteľnosti môže vykonávať kód s oprávneniami SYSTEM alebo root bez potreby autentifikácie na danom zariadení. Následne môže získať kontrolu nad zariadeniami pod správou zraniteľnej inštancie ManageEngine.

Zraniteľnosť objavil výskumník Steven Seeley, ktorý pred jej publikovaním dňa 5.3.2020 neupozornil spoločnosť Zoho na jej existenciu, nakoľko podľa jeho slov má so spoločnosťou negatívne skúsenosti, keď v minulosti jeho upozornenia ignorovala. Steven Seeley zverejnil aj zdrojový kód s ktorým možno vykonať exploit zraniteľnosti. Spoločnosť vydala záplatu 6.3.2020.

Zraniteľné systémy
Desktop Central build 10.0.473 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktualizácia aspoň na verziu 10.0.479. Aktualizáciu možno stiahnuť na tejto stránke.

Verzia 10.0.474 by nemala byť zraniteľná, pretože už obsahuje hotfix (krátkodobú záplatu), ale jej dlhodobé používanie sa neodporúča keďže krátkodobé záplaty neprechádzajú dôkladným testovaním.

Odkazy
https://threatpost.com/critical-zoho-zero-day-flaw-disclosed/153484/
https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/
https://www.bleepingcomputer.com/news/security/zoho-fixes-no-auth-rce-zero-day-in-manageengine-desktop-central/



<< zoznam oznámení