聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
业务工具开发公司 Zoho 指出,已修复影响其 ManageEngine Desktop Central 产品的一个严重的0day。
ManageEngine Desktop Central 是一款旨在帮助组织机构集中管理服务器、笔记本电脑、台式电脑和移动设备的端点管理解决方案。该解决方案包括安装补丁、部署软件和操作系统、管理资产、获取软件使用数据并远程控制设备。厂商网站上列出所拥有的1000多名“驰名客户”。
详情和 PoC 已发布
本周四,Source Incite 公司的研究员 Steven Seeley 在未提前通知 Zoho 的情况下公开披露了 Desktop Central 中的一个严重漏洞,可遭远程未认证攻击者以提升后的权限执行任意代码。
Seeley 解释称,“这个缺陷存在于 FileStorage 类中,是因为对由用户提供的数据缺乏正确验证造成的,可导致反序列化的不可信数据产生。攻击者可利用该漏洞在系统上下文中执行代码。”
Seeley 发布了一份安全公告描述了其研究成果,还发布了 PoC exploit。该漏洞虽然已在2019年12月发现,但研究员表示不打算告知 Zoho,理由是此前为该厂商提交的漏洞报告遭无视。
Zoho 表示已发现这个问题并开始“以最高优先级”修复该漏洞。目前该漏洞已在 Zoho ManageEngine DesktopCentral v10.0.479 中修复,并获得CVE编号 CVE-2020-10189。
被暴露产品超2300个
微软的一名安全研究员表示,Shodan 搜索引擎目前列出了2300多个暴露在互联网上的 ManageEngine Desktop Central 实例,从而增加了恶意黑客攻击该漏洞的几率。
Digital Shadows 公司的首席信息安全官兼战略副总裁 Rick Holland 表示,“管理工具如 Zoho ManageEngine Desktop Central 为理想的目标而设计。客户端管理工具如 Desktop Central 可管理服务器和端点设备如移动设备,如果攻击者能攻陷这类设备,那么它们在目标企业环境中就拥有‘打猎季节’。攻击者具有多种选择,不仅限于加速侦察目标环境、部署恶意软件如勒索软件或者甚至是远程监控用户机器。”
Holland 补充表示,“鉴于该漏洞能够触发未认证的远程代码执行,因此企业尽快部署补丁显得尤为重要。应立即使面向互联网的 Desktop Central 部署脱机。”
信息安全社区的多名成员同意 Seeley 关于 Zoho 公司怠慢漏洞披露流程的说法,不过也有人认为该公司最近修复漏洞较为迅速。
Zoho 公司的一名发言人表示,Seeley 从未联系过其安全团队,他们是从一名客户处获知该问题的。
Zoho 发布的安全更新:
https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html
推荐阅读
PPP 守护进程 RCE 漏洞已存在17年,可控制几乎所有的 Linux 系统
原文链接
https://www.securityweek.com/zoho-working-patch-zero-day-vulnerability-manageengine-product
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
扫一扫
537
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
