Lỗ hổng Zero-day trên sản phẩm của Zoho

2
15
Lỗ hổng Zero-day trên sản phẩm của Zoho

Hôm qua, một nhà nghiên cứu đã công bố chi tiết trên Twitter về lỗ hổng zero-day trong sản phẩm của Zoho. Các chuyên gia cho biết lỗ hổng zero-day này có thể gây rắc rối cho các công ty trên toàn thế giới, vì có thể hacker sẽ lợi dụng để lây nhiễm ransomware và đòi tiền chuộc.

Lỗ hổng ảnh hưởng đến Zoho ManageEngine Desktop Central. Theo trang web Zoho, đây là một giải pháp quản lý điểm cuối. Các công ty sử dụng sản phẩm để điều khiển hệ thống thiết bị như điện thoại thông minh Android, máy chủ Linux hoặc máy trạm Mac và Windows.

Sản phẩm hoạt động như một máy chủ trung tâm, cho phép quản trị viên hệ thống đẩy các bản cập nhật, kiểm soát hệ thống từ xa, khóa thiết bị, áp dụng các hạn chế truy cập và hơn thế nữa.

Hôm qua, nhà nghiên cứu Steven Seeley, đã công bố chi tiết, cùng với mã demo POC trong sản phẩm này.

“Lỗ hổng này cho phép những kẻ tấn công từ xa thực thi mã tùy ý trên các bản cài đặt bị ảnh hưởng của ManageEngine Desktop Central,” Seeley nói.

Việc tấn công được thực thi mà không cần xác thực và mã chạy với quyền root trên máy, Seeley nói thêm.

Điều này có nghĩa là tin tặc có thể kiểm soát hoàn toàn các hệ thống ManageEngine và một nhóm thiết bị của công ty.

Các sản phẩm như ManageEngine của Zoho thường được sử dụng bởi các công ty cung cấp dịch vụ hỗ trợ CNTT từ xa – được gọi là nhà cung cấp dịch vụ quản lý (MSP).

Lỗi được tiết lộ trên Twitter khiến tất cả các công ty phụ thuộc vào Zoho ManageEngine, cùng với tất cả các MSP đứng trước nguy cơ gặp nguy hiểm.

Hiện tại, có hơn 2.300 cài đặt hệ thống Zoho ManageEngine được hiển thị trên internet, theo Nate Warfield, nhà phân tích của Trung tâm phản hồi bảo mật của Microsoft.

Hacker có quyền truy cập vào một máy tính trong mạng của công ty có thể sử dụng lỗ hổng này để lấy quyền truy cập vào máy chủ ManageEngine và sau đó đẩy phần mềm độc hại sang tất cả các máy tính khác trên mạng của công ty.

Velasco đã phát hiện các loại tấn công này trước đây trong khi theo dõi ransomware REvil (Sodinokibi) – một trong những chủng ransomware đầu tiên nhắm vào MSP.

Trong một báo cáo khác, công ty bảo mật mạng Armor của Mỹ tuyên bố họ đã theo dõi 13 MSP vào năm 2019 đã bị hack hoặc phần mềm của họ bị lạm dụng để cài đặt ransomware.
Không nghi ngờ gì nữa, Zoho zero-day có thể sẽ kích hoạt một làn sóng hack. Phía Zoho cho biết bản vá dự kiến vào cuối ngày hôm nay.

Theo ZDNet

2 COMMENTS

Comments are closed.