Бесплатно Экспресс-аудит сайта:

08.03.2020

Уязвимость в Zoho ManageEngine Desktop Central позволяет выполнить код

Исследователь безопасности Стивен Сили (Steven Seeley) опубликовал подробные сведения и PoC-код для уязвимости (CVE-2020-10189 в ПО Zoho ManageEngine Desktop Central для администрирования конечных точек.

Компании используют Zoho ManageEngine Desktop Central для управления своими устройствами, такими как Android-смартфоны, Linux-серверы или рабочие станции Mac и Windows. Продукт выполняет роль центрального сервера внутри компании, позволяя системным администраторам устанавливать обновления, удаленно управлять системами, блокировать устройства, применять ограничения доступа и пр.

По словам ИБ-экспертов, обнаруженная уязвимость может вызвать проблемы у многих компаний по всему миру и стать отправной точкой для киберпреступников, использующих вымогательское ПО. Как отметил Сили, уязвимость позволяет удаленным злоумышленникам выполнить произвольный код с правами суперпользователя на уязвимых установках ManageEngine Desktop Central.

По словам аналитика Центра безопасности Microsoft Нейта Уорфилда (Nate Warfield), сейчас в Сети существует более 2300 уязвимых систем Zoho ManageEngine.

Сили не уведомил Zoho о своих находках и вместо этого опубликовал PoC-код в Сети. Как отметил исследователь, «Zoho обычно игнорирует исследователей».

Некоторые специалисты раскритиковали действия Сили и назвали его решение непрофессиональным. Однако другие исследователи безопасности сказали, что они также были проигнорированы компанией.

Zoho узнала о проблеме от одного из своих клиентов и в настоящее время уязвимость исправлена в версии Zoho ManageEngine Desktop Central 10.0.479.