Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Zoho zero-day gepubliceerd op Twitter

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 641

zoho.jpg

Een beveiligingsonderzoeker publiceerde gisteren details op Twitter over een zero-day kwetsbaarheid in een Zoho enterprise-product.

Cybersecurity-experts die de kwetsbaarheid hebben beoordeeld, hebben het verteld ZDNet dat de zero-day problemen zou kunnen betekenen voor bedrijven over de hele wereld, aangezien het een toegangspunt zou kunnen zijn voor ransomwarebendes om bedrijfsnetwerken te infecteren en hun gegevens los te kopen.

De kwetsbaarheid is van invloed op de Zoho ManageEngine Desktop Central. Volgens de Zoho-website is dit een oplossing voor eindpuntbeheer. Bedrijven gebruiken het product om hun vloot van apparaten te bedienen, zoals Android-smartphones, Linux-servers of Mac- en Windows-werkstations.

Het product werkt als een centrale server binnen een bedrijf, waardoor systeembeheerders updates kunnen pushen, systemen op afstand kunnen besturen, apparaten kunnen vergrendelen, toegangsbeperkingen kunnen toepassen en meer.

Gisteren, een beveiligingsonderzoeker genaamd Steven Seeley, gepubliceerde details, samen met proof-of-concept democode, over een niet-gepatchte bug in dit product.

"Door dit beveiligingslek kunnen externe aanvallers willekeurige code uitvoeren op getroffen installaties van ManageEngine Desktop Central," zei Seeley.

De (aanvaller) -code wordt uitgevoerd zonder dat verificatie vereist is, en de code wordt uitgevoerd met rootprivileges op de machine, voegde Seeley eraan toe.

Dit betekent in feite dat hackers volledige controle kunnen krijgen over ManageEngine-systemen en de apparaten van een bedrijf.

Ideaal voor ransomware-aanvallen

Producten zoals Zoho's ManageEngine worden vaak gebruikt door bedrijven die IT-ondersteuning op afstand bieden - de zogenaamde managed service providers (MSP's).

Het afgelopen jaar hebben meerdere ransomware-bendes ontdekt dat ze MSP's en de software die ze gebruiken om ransomware op de netwerken van hun klanten te plaatsen, kunnen targeten.

De bug die vandaag op Twitter is onthuld, brengt alle bedrijven die op Zoho ManageEngine vertrouwen, samen met alle MSP's die erop vertrouwen en hun klanten, in gevaar.

"Dit klinkt als het ergste scenario voor MSP's die dit product gebruiken," Daniël Goldberg, vertelde een malware-analist bij Guardicore ZDNet. "Ze worden geschonden, al hun klanten worden geschonden en het is een race die als eerste zal aanvallen."

"Ransomwaregroepen hebben het op dit moment tot een wetenschap", voegde Goldberg eraan toe. "Vind een eenvoudige betrouwbare exploit als deze, val opportunistische slachtoffers aan, vind mensen met geld om te betalen en profiteer."

Meer dan 2,300 blootgestelde servers

Momenteel zijn er meer dan 2,300 installaties van Zoho ManageEngine-systemen op het internet, volgens Nate Warfield, analist voor het Microsoft Security Response Center.

Al deze 2,300 blootgestelde instanties zijn vergelijkbaar met gateways naar die bedrijven vanwege de recent gedeelde zero-day.

In een interview met ZDNet, Leandro Velasco, een bedreigingsinformatie-analist voor KPN Security, wees er ook op dat deze kwetsbaarheid ook ideaal is voor laterale beweging.

Zelfs als een bedrijf de Zoho ManageEngine Desktop Central niet via internet blootstelt, kan het binnen hun netwerken worden gebruikt.

Een aanvaller die toegang krijgt tot één computer binnen het bedrijfsnetwerk, kan de Zoho zero-day gebruiken om toegang te krijgen via de ManageEngine-server en vervolgens malware naar alle andere computers in het bedrijfsnetwerk pushen.

Velasco heeft dit soort aanvallen eerder gezien tijdens het monitoren van REvil (Sodinokibi) ransomware-infecties - een van de eerste ransomwarestammen die zich richt op MSP's en hun software in zogenaamde "supply chain-aanvallen" op grotere doelen.

Deze tactiek - het aanvallen van MSP's en hun software - is nu mainstream geworden onder andere ransomwarebendes.

"De afgelopen maanden zagen we campagnes gericht op gespecialiseerde software die wordt gebruikt door MSP's, zoals tool voor beheer van externe toegang", zegt Sander Peters, hoofd van KPN Security, in een rapport over de software supply chain-risico's in Europa.

In een soortgelijk rapport beweert het Amerikaanse cyberbeveiligingsbedrijf Armor dat het is gevolgd 13 MSP's in 2019 die zijn gehackt of hun software werd misbruikt om ransomware op de netwerken van hun klanten te installeren.

Geen openbaarmaking

De Zoho zero-day zal ongetwijfeld een golf van hacks veroorzaken. De Shodan-zoekopdracht die hierboven is opgesomd, onthult enkele 'sappige' doelen voor hackers.

Momenteel is er geen patch beschikbaar omdat Seeley Zoho nooit op de hoogte heeft gesteld. Op Twitter beweerde de onderzoeker dat 'Zoho onderzoekers doorgaans negeert' en deelde hij de code online.

Sommige beveiligingsonderzoekers hebben kritiek geuit op de actie van Seeley om de zero-day bekend te maken zonder Zoho hiervan op de hoogte te stellen en noemden het onprofessioneel. Andere beveiligingsonderzoekers zeiden echter dat ze ook werden genegeerd bij het melden van problemen aan Zoho.

Een Zoho-woordvoerder vertelde ZDNet dat Seeley nooit contact heeft opgenomen met het beveiligingsteam en dat ze van een klant van het probleem hebben gehoord. Een patch wordt later op de dag verwacht, om 10 uur PT.

Bijgewerkt om toe te voegen dat het beveiligingslek, nu bijgehouden als CVE-2020-10189, is gepatcht in Zoho ManageEngine Desktop Central v10.0.479.

Bron: https://www.zdnet.com/article/zoho-zero-day-public-on-twitter/#ftag=RSSbaffb68

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.