Zero-day zraniteľnosť Zoho ManageEngine umožňuje vzdialené vykonávanie kódu
12.03.2020Služba Zoho ManageEngine Desktop Central, slúžiaca na manažment vzdialených zariadení, nesprávne kontroluje vstupné dáta od používateľa. Takto môže softvér deserializovať nedôveryhodné dáta, čo útočníkovi dáva možnosť vykonávať kód s oprávneniami SYSTEM alebo root bez potreby autentifikácie na zraniteľnom zaradení a prevziať kontrolu nad spravovanými zariadeniami.
Dôsledky
- Vykonávanie ľubovoľného kódu s právami root/system bez autentifikácie
- Získanie kontroly nad zariadeniami manažovanými cez Zoho ManageEngine Desktop Central
Opis činnosti
CVE-2020-10189
Zoho ManageEngine Desktop Central, slúžiace na manažment vzdialených zariadení nesprávne kontroluje vstupné dáta od používateľa, čo môže viesť k deserializácii nedôveryhodných dát. Zraniteľnosť sa nachádza vo funkcii getChartImage v triede FileStorage zodpovednej za manipuláciu so súbormi. Súbor, ktorý chce používateľ zapísať sa číta bez dôkladnej kontroly použitím metódy readObject, ktorá prijaté dáta deserializuje. Útočník s využitím zraniteľnosti môže vykonávať kód s oprávneniami SYSTEM alebo root bez potreby autentifikácie na danom zariadení. Následne môže získať kontrolu nad zariadeniami pod správou zraniteľnej inštancie ManageEngine.
Zraniteľnosť objavil výskumník Steven Seeley, ktorý pred jej publikovaním dňa 5.3.2020 neupozornil spoločnosť Zoho na jej existenciu, nakoľko podľa jeho slov má so spoločnosťou negatívne skúsenosti, keď v minulosti jeho upozornenia ignorovala. Steven Seeley zverejnil aj zdrojový kód s ktorým možno vykonať exploit zraniteľnosti. Spoločnosť vydala záplatu 6.3.2020.
Zraniteľné systémy
Desktop Central build 10.0.473 a staršie
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie kódu
Odporúčania
Bezodkladná aktualizácia aspoň na verziu 10.0.479. Aktualizáciu možno stiahnuť na tejto stránke.
Verzia 10.0.474 by nemala byť zraniteľná, pretože už obsahuje hotfix (krátkodobú záplatu), ale jej dlhodobé používanie sa neodporúča keďže krátkodobé záplaty neprechádzajú dôkladným testovaním.
Odkazy
https://threatpost.com/critical-zoho-zero-day-flaw-disclosed/153484/
https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/
https://www.bleepingcomputer.com/news/security/zoho-fixes-no-auth-rce-zero-day-in-manageengine-desktop-central/
<< zoznam oznámení