10/03/20
Исследователь безопасности Стивен Сили (Steven Seeley) опубликовал подробные сведения и PoC-код для уязвимости (CVE-2020-10189 в ПО Zoho ManageEngine Desktop Central для администрирования конечных точек.
Компании используют Zoho ManageEngine Desktop Central для управления своими устройствами, такими как Android-смартфоны, Linux-серверы или рабочие станции Mac и Windows. Продукт выполняет роль центрального сервера внутри компании, позволяя системным администраторам устанавливать обновления, удаленно управлять системами, блокировать устройства, применять ограничения доступа и пр.
По словам ИБ-экспертов, обнаруженная уязвимость может вызвать проблемы у многих компаний по всему миру и стать отправной точкой для киберпреступников, использующих вымогательское ПО. Как отметил Сили, уязвимость позволяет удаленным злоумышленникам выполнить произвольный код с правами суперпользователя на уязвимых установках ManageEngine Desktop Central.
По словам аналитика Центра безопасности Microsoft Нейта Уорфилда (Nate Warfield), сейчас в Сети существует более 2300 уязвимых систем Zoho ManageEngine.
Сили не уведомил Zoho о своих находках и вместо этого опубликовал PoC-код в Сети. Как отметил исследователь, «Zoho обычно игнорирует исследователей».
Некоторые специалисты раскритиковали действия Сили и назвали его решение непрофессиональным. Однако другие исследователи безопасности сказали, что они также были проигнорированы компанией.
Zoho узнала о проблеме от одного из своих клиентов и в настоящее время уязвимость исправлена в версии Zoho ManageEngine Desktop Central 10.0.479.
