En sikkerhetsforsker la torsdag ut detaljer om en kritisk sårbarhet i enterprise-løsningen Manage Engine fra Zoho.
Dette er et system for flåtestyring av både mobiltelefoner, Linux-servere, samt Mac- og Windows-baserte datamaskiner.
Zdnet skriver at det er grunn til å frykte misbruk, etter at nulldagssårbarheten og konseptkode for utnyttelse av svakheten ble offentliggjort i går.
_logo.svg.png){kind=logo}
En sikkerhetsforsker kalt Steven Steeley skal ha publisert dette. Det gjorde han tilsynelatende uten å kontakte programvareleverandøren i forkant.
Normal praksis er å gi utgiveren rimelig med tid til å rette feil, altså en etisk forsvarlig varsling, men det ser ikke ut til å ha skjedd i dette tilfellet.
Sårbarheten skal gjøre det mulig for angripere å kjøre vilkårlig kode, helt uten autentisering og med administrative rettigheter. Det betyr at de kan ta kontroll over berørte installasjoner av Manage Enige Desktop Central, og antakelig enhetene som løsningen styrer.
Steeley oppgir at han røper sårbarheten direkte fordi Zoho ifølge ham «typisk ignorerer sikkerhetsforskere».
Since @zoho typically ignores researchers, I figured it was OK to share a ManageEngine Desktop Central zero-day exploit with everyone. UnCVE'ed, unpatched and unauthenticated RCE as SYSTEM/root. Enjoy!
Advisory: https://t.co/U9LZPp4l5o
Exploit: https://t.co/LtR75bhooy
— ϻг_ϻε (@steventseeley) March 5, 2020
Zoho har i hvert fall ikke ignorert avsløringen. I et svar på Twitter skriver de at de har identifisert feilen og nå jobber med en sikkerhetsoppdatering. Arbeidet har høyeste prioritet, opplyser de.
Flere tusen eksponerte servere
Nate Warfield, en analytiker som jobber for Microsoft Security Response Center, har sjekket hvor mange som kan være berørt av sårbarheten.
I en twittermelding viser han til oppslag i søkemotoren Shodan, som indikerer at det er anslagsvis 2.300 eksponerte servere med Manage Engine.
https://t.co/cCOrj1t6bo - "only" 2300+ of these online.....
— Nate Warfield (@n0x08) March 5, 2020
Alle disse installasjonene kan etter alt å dømme fungere som inngangsporter til bedriftene, som dermed er truet av lekkasjen, ifølge Zdnet.
De har også snakket med sikkerhetseksperter som mener at sårbarheten kan åpne for ytterligere innbrudd blant interne systemer, gjennom en teknikk kalt sideveis bevegelse eller «lateral movement».
Zoho er en amerikansk tilbyder av forretningssystemer, blant annet kundehåndteringsløsning (CRM), men også en portefølje av driftsrelaterte verktøy. Selskapet som retter seg mot små- og mellomstore kunder oppgir å ha mer enn 50 millioner bedriftskunder over hele verden.
