Zero-day zraniteľnosť Zoho ManageEngine umožňuje vzdialené vykonávanie kódu

Dôsledky

• Vykonávanie ľubovoľného kódu s právami root/system bez autentifikácie
• Získanie kontroly nad zariadeniami manažovanými cez Zoho ManageEngine Desktop Central

Opis činnosti
CVE-2020-10189

Zoho ManageEngine Desktop Central, slúžiace na manažment vzdialených zariadení nesprávne kontroluje vstupné dáta od používateľa, čo môže viesť k deserializácii nedôveryhodných dát. Zraniteľnosť sa nachádza vo funkcii getChartImage v triede FileStorage zodpovednej za manipuláciu so súbormi. Súbor, ktorý chce používateľ zapísať sa číta bez dôkladnej kontroly použitím metódy readObject, ktorá prijaté dáta deserializuje. Útočník s využitím zraniteľnosti môže vykonávať kód s oprávneniami SYSTEM alebo root bez potreby autentifikácie na danom zariadení. Následne môže získať kontrolu nad zariadeniami pod správou zraniteľnej inštancie ManageEngine.

Zraniteľnosť objavil výskumník Steven Seeley, ktorý pred jej publikovaním dňa 5.3.2020 neupozornil spoločnosť Zoho na jej existenciu, nakoľko podľa jeho slov má so spoločnosťou negatívne skúsenosti, keď v minulosti jeho upozornenia ignorovala. Steven Seeley zverejnil aj zdrojový kód s ktorým možno vykonať exploit zraniteľnosti. Spoločnosť vydala záplatu 6.3.2020.

Zraniteľné systémy
Desktop Central build 10.0.473 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktualizácia aspoň na verziu 10.0.479. Aktualizáciu možno stiahnuť na tejto stránke.

Verzia 10.0.474 by nemala byť zraniteľná, pretože už obsahuje hotfix (krátkodobú záplatu), ale jej dlhodobé používanie sa neodporúča keďže krátkodobé záplaty neprechádzajú dôkladným testovaním.

Odkazy
https://threatpost.com/critical-zoho-zero-day-flaw-disclosed/153484/
https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/
https://www.bleepingcomputer.com/news/security/zoho-fixes-no-auth-rce-zero-day-in-manageengine-desktop-central/