Уязвимость в Zoho ManageEngine Desktop Central позволяет выполнить код

ИБ-экспeрты oпaсaются, чтo уязвимoсть мoжeт быть прoэксплуaтирoвaнa вымoгaтeлями.

Исслeдoвaтeль бeзoпaснoсти Стивeн Сили (Steven Seeley) oпубликoвaл пoдрoбныe свeдeния и PoC-кoд для уязвимoсти (CVE-2020-10189 в ПO Zoho ManageEngine Desktop Central для aдминистрирoвaния кoнeчныx тoчeк.

Кoмпaнии используют Zoho ManageEngine Desktop Central для управления своими устройствами, такими как Android-смартфоны, Linux-серверы или рабочие станции Mac и Windows. Продукт выполняет роль центрального сервера внутри компании, позволяя системным администраторам устанавливать обновления, удаленно управлять системами, блокировать устройства, применять ограничения доступа и пр.

По словам ИБ-экспертов, обнаруженная уязвимость может вызвать проблемы у многих компаний по всему миру и стать отправной точкой для киберпреступников, использующих вымогательское ПО. Как отметил Сили, уязвимость позволяет удаленным злоумышленникам выполнить произвольный код с правами суперпользователя на уязвимых установках ManageEngine Desktop Central.

По словам аналитика Центра безопасности Microsoft Нейта Уорфилда (Nate Warfield), сейчас в Сети существует более 2300 уязвимых систем Zoho ManageEngine.

Сили не уведомил Zoho о своих находках и вместо этого опубликовал PoC-код в Сети. Как отметил исследователь, «Zoho обычно игнорирует исследователей».

Некоторые специалисты раскритиковали действия Сили и назвали его решение непрофессиональным. Однако другие исследователи безопасности сказали, что они также были проигнорированы компанией.

Zoho узнала о проблеме от одного из своих клиентов и в настоящее время уязвимость исправлена в версии Zoho ManageEngine Desktop Central 10.0.479.

Источник