公开的Zoho关键零日缺陷

  • A+
所属分类:未分类

Twitter上披露了Zoho的零日漏洞和概念证明(PoC)漏洞利用代码。

更新

Zoho Corp.的IT帮助台ManageEngine软件中披露了一个零日漏洞。该严重漏洞使未经身份验证的远程攻击者可以对受影响的系统发起攻击。 Zoho现在已经发布了解决此漏洞的安全更新

互联网安全中心(Center for Internet Security)的通报显示 ,截至3月9日星期一,该漏洞已在野外被积极利用。

该漏洞由ZDNet首次报告 ,存在于Zoho ManageEngine Desktop Central中,Zoho ManageEngine Desktop Central是一种终结点管理工具,可帮助用户从中央位置管理服务器,笔记本电脑,智能手机等。 Source Incite的Steven Seeley星期四在Twitter上披露了该漏洞 ,以及概念证明(PoC)漏洞。 据ZDNet称,这家企业软件开发公司将于周五发布该漏洞的补丁程序。

“此漏洞使远程攻击者可以在受影响的ManageEngine Desktop Central安装上执行任意代码。 Seeley表示,利用此漏洞不需要身份验证。

根据Seeley的说法,该特定缺陷存在于Desktop Central的FileStorage类中。 FileStorage类用于存储数据以从文件读取数据或从文件读取数据。 该问题是由于对用户提供的数据进行了不正确的验证而导致的,这可能导致不信任数据的反序列化。

Seeley告诉Threatpost,攻击者可以利用此漏洞在SYSTEM上下文中执行代码,从而使他们“完全控制目标计算机……基本上是最糟糕的目标计算机”。

根据Seeley的说法,他还在Twitter上发布了针对该漏洞PoC攻击,根据CVSS等级,该漏洞在10.0中排名9.8,这使其严重程度至关重要。 微软安全研究员内特·沃菲尔德(Nate Warfield)指出,至少有2300个 Zoho系统可能会在线暴露。

CISO兼Digital Shadows战略副总裁里克·霍兰德(Rick Holland)表示,如果攻击者可以破坏诸如ManageEngine之类的解决方案,他们将在目标公司的环境中处于“开放季节”。

霍兰德对Threatpost说:“攻击者有无数种选择,不仅限于:加速目标环境的侦察,部署包括勒索软件的恶意软件,甚至远程监视用户的计算机。” “鉴于此漏洞允许未经身份验证的代码远程执行,因此公司必须在补丁发布后立即对其进行部署,这一点变得尤为重要。 面向Internet的Desktop Central部署应立即脱机。”

Threatpost已通过电子邮件和Twitter与Zoho联系,以获取进一步评论; 该公司尚未回应。 但是Zoho在Twitter上说:“我们已经确定了这个问题,并且正在优先开发补丁程序。 完成后,我们将进行更新。”

Seeley告诉Threatpost,由于公司以前在漏洞披露方面的负面经验,他没有在披露漏洞之前联系Zoho。 他说:“过去,我还有其他严重漏洞,而他们忽略了我。”

缺乏负责任的披露已经引起安全专家的不同意见。 熊猫安全公司工程和技术支持总监瑞·洛佩斯(Rui Lopes)等人告诉Threatpost,该事件可能会使脆弱的系统向不良行为者敞开大门。

“独立研究人员与提供集中化IT管理平台的解决方案供应商之间的通信似乎崩溃了,这不可避免地导致效率低下的修补协议和敏感信息的暴露,这些恶意信息使不良行为者面临威胁媒介的威胁,否则这种威胁向量是未知的。”

Vectra的CTO团队技术总监Tim Wade告诉Threatpost,该事件凸显了安全研究人员与组织之间建立更好关系的必要性。

他说:“据称,Zoho忽略了安全研究人员的声誉,安全研究人员发现产品中存在可利用的漏洞,从而决定了直接发布的决定。” “尽管可以从多个角度公平地讨论此决定的优点,但至少强调了软件组织与安全社区建立更好的关系的必要性以及失败的严重性。”

研究人员此前曾在Zoho的ManageEngine软件中发现2018年的多个关键漏洞。 总共发现了七个漏洞,每个漏洞都使攻击者最终可以控制运行ManageEngine的SaaS应用程序套件的主机服务器。 同样,以前也看到大量与Zoho在线办公套件软件相关的键盘记录钓鱼行为。 在一项分析中,2018年10月发现的整整40%使用zoho.com或zoho.eu电子邮件地址从受害者计算机中窃取数据。

本文在星期五下午4:36更新,以反映Zoho已发布补丁。 并在周一下午4点反映出该漏洞已在野外得到积极利用。

对物联网的安全性以及5G如何改变威胁格局感兴趣? 加入我们的免费Threatpost网络研讨会“ 5G,奥林匹克运动和下一代安全挑战” ,我们的小组讨论了2020年预期的用例(奥林匹克运动将是第一个测试),5G安全风险为何不同,作用防御中的AI以及企业如何管理风险。 在这里注册

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: