한 보안 연구원이 어제 Zoho 엔터프라이즈 제품의 제로데이 취약점에 대한 세부 정보를 Twitter에 게시했습니다.
취약점을 검토한 사이버 보안 전문가들은 고 제로데이는 랜섬웨어 갱단이 기업 네트워크를 감염시키고 데이터를 몸값으로 삼는 진입점이 될 수 있기 때문에 전 세계 기업에 문제를 일으킬 수 있습니다.
취약점은 다음에 영향을 미칩니다. Zoho ManageEngine 데스크탑 센트럴. Zoho 웹 사이트에 따르면 이것은 엔드포인트 관리 솔루션입니다. 회사는 이 제품을 사용하여 Android 스마트폰, Linux 서버 또는 Mac 및 Windows 워크스테이션과 같은 장치를 제어합니다.
이 제품은 회사 내부의 중앙 서버로 작동하여 시스템 관리자가 업데이트를 푸시하고, 원격으로 시스템을 제어하고, 장치를 잠그고, 액세스 제한을 적용하는 등의 작업을 수행할 수 있습니다.
어제 Steven Seeley라는 보안 연구원이 게시된 세부정보, 와 함께 개념 증명 데모 코드, 이 제품의 패치되지 않은 버그에 대해.
“이 취약점으로 인해 원격 공격자가 영향을 받는 ManageEngine Desktop Central 설치에서 임의 코드를 실행할 수 있습니다.”라고 Seeley는 말했습니다.
(공격자의) 코드는 인증 없이 실행되며 코드는 시스템에서 루트 권한으로 실행된다고 Seeley는 덧붙였습니다.
이는 사실상 해커가 ManageEngine 시스템과 회사의 여러 장치를 완전히 제어할 수 있음을 의미합니다.
랜섬웨어 공격에 이상적
Zoho의 ManageEngine과 같은 제품은 MSP(Managed Service Provider)라고 하는 원격 IT 지원을 제공하는 회사에서 자주 사용합니다.
지난 XNUMX년 동안 여러 랜섬웨어 갱단은 MSP와 클라이언트 네트워크에 랜섬웨어를 심는 데 사용하는 소프트웨어를 표적으로 삼을 수 있다는 사실을 알아냈습니다.
오늘 Twitter에서 공개된 버그는 Zoho ManageEngine에 의존하는 모든 회사와 이를 의존하는 모든 MSP 및 클라이언트를 위험에 빠뜨립니다.
"이것은 이 제품을 사용하는 MSP에게 최악의 시나리오처럼 들립니다." 다니엘 골드버그Guardicore의 맬웨어 분석가는 말했습니다. 고. "그들은 침해를 당하고 모든 고객은 침해를 당하며 먼저 공격하는 경주입니다."
Goldberg는 "현재 랜섬웨어 그룹은 과학에 의존하고 있습니다."라고 덧붙였습니다. "이와 같이 간단하고 신뢰할 수 있는 익스플로잇을 찾고, 기회주의적 피해자를 공격하고, 지불할 돈이 있는 사람들을 찾고, 이익을 얻습니다."
2,300개 이상의 노출된 서버
현재는 2,300개 이상의 설치 Microsoft Security Response Center의 분석가인 Nate Warfield에 따르면 인터넷에 노출된 Zoho ManageEngine 시스템의
노출된 2,300개의 인스턴스는 모두 최근 공유된 제로데이로 인해 해당 기업의 관문과 같습니다.
과의 인터뷰에서 고, 레안드로 벨라스코KPN Security의 위협 정보 분석가인 , 또한 이 취약점이 측면 이동에 이상적이라고 지적했습니다.
회사가 인터넷을 통해 Zoho ManageEngine Desktop Central을 노출하지 않더라도 네트워크 내부에서 사용할 수 있습니다.
회사 네트워크 내부의 한 컴퓨터에 대한 액세스 권한을 얻은 공격자는 Zoho 제로데이를 사용하여 ManageEngine 서버를 통해 액세스 권한을 얻은 다음 회사 네트워크의 다른 모든 컴퓨터에 맬웨어를 푸시할 수 있습니다.
Velasco는 이전에 REvil(Sodinokibi) 랜섬웨어 감염을 모니터링하면서 이러한 유형의 공격을 목격했습니다. — MSP를 대상으로 하는 최초의 랜섬웨어 변종 중 하나 더 큰 목표에 대한 소위 "공급망 공격"의 소프트웨어.
MSP와 그 소프트웨어를 공격하는 이 전술은 이제 다른 랜섬웨어 갱단 사이에서 주류가 되었습니다.
KPN Security의 책임자인 Sander Peters는 "지난 몇 개월 동안 원격 액세스 관리 도구와 같이 MSP가 사용하는 전문 소프트웨어에 초점을 맞춘 캠페인을 보았습니다. 보고서에서 유럽의 소프트웨어 공급망 위험에 대해.
유사한 보고서에서 미국 사이버 보안 회사 Armor는 추적했다고 주장합니다. 13년 해킹당한 2019개의 MSP 또는 클라이언트의 네트워크에 랜섬웨어를 설치하기 위해 소프트웨어를 남용했습니다.
공개 금지
의심할 여지 없이 Zoho 제로데이는 해킹의 물결을 촉발할 것입니다. 위에 나열된 Shodan 검색은 해커를 위한 몇 가지 "흥미로운" 대상을 발견합니다.
현재 Seeley가 Zoho에 알리지 않았기 때문에 패치를 사용할 수 없습니다. 연구원은 트위터에서 "Zoho는 일반적으로 연구원을 무시한다"고 주장하고 온라인에서 코드를 공유했습니다.
일부 보안 연구원들은 Zoho에 알리지 않고 제로데이를 공개하려는 Seeley의 움직임을 비전문적이라고 비판했습니다. 그러나 다른 보안 연구원들도 Zoho에 문제를 보고할 때 무시당했다고 말했습니다.
Zoho 대변인은 고 Seeley는 보안 팀에 연락하지 않았으며 고객으로부터 문제에 대해 알게 되었습니다. 오늘 오후 10시 30분(PT)에 패치가 있을 예정입니다.
현재 CVE-2020-10189로 추적되는 취약점을 추가하도록 업데이트되었습니다. 패치되었습니다 Zoho ManageEngine Desktop Central v10.0.479에서.
출처: https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/#ftag=RSSbaffb68
