زوهو آسیب‌پذیری روز صفرم موجود در محصول ManageEngine Product خود را وصله می‌کند

شرکت توسعه‌دهنده‌ی ابزارهای تجاری زوهو (Zoho) از انتشار وصله‌ای برای آسیب‌پذیری روز صفرم موجود در محصول ManageEngine Desktop Central خود خبر داد. نرم‌افزار ManageEngine Desktop Central، برای کمک به سازمان‌ها در مدیریت سرورها، لپ‌تاپ‌ها، رایانه‌های رومیزی و دستگاه‌های تلفن همراه طراحی شده است. این راه‌حل شامل امکاناتی برای نصب وصله‌ها، استقرار نرم‌افزار و سیستم عامل‌ها، مدیریت دارایی‌ها، دستیابی به آمار استفاده از نرم‌افزار و کنترل دستگاه‌های از راه دور می‌باشد. وب‌سایت فروشنده بیش از هزار مشتری را برای این نرم‌افزار فهرست کرده است.

به گفته‌ی محققان این آسیب‌پذیری بحرانی که با شناسه‌ی CVE-2020-10189 ردیابی می‌شود، می‌تواند توسط یک مهاجم از راه دور و غیرمجاز برای اجرای کد دلخواه با امتیازات بالا مورد بهره‌برداری قرار بگیرد. محققان توضیح دادند: «این آسیب‌پذیری در گروه FileStorage وجود دارد. این اشکال امنیتی که از عدم اعتبارسنجی صحیح داده‌های ارائه‌شده توسط کاربر ناشی می‌شود، می‌تواند منجر به deserialization داده‌های غیرقابل‌اعتماد شود. مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد در چارچوب SYSTEM استفاده کند.» مشاوره‌نامه و همچنین، اثبات مفهومی (PoC) این آسیب‌پذیری که برای اولین بار در دسامبر سال ۲۰۱۹ میلادی کشف شد، هم‌اکنون در دسترس است.

محققان مایکروسافت خاطرنشان کردند: «جستجوی Shodan، بیش از ۲۳۰۰ نصب این نرم‌افزار در معرض اینترنت را نشان می‌دهد، بنابراین، مهاجمان شانس زیادی برای هدف قراردادن این آسیب‌پذیری دارند.» محققان همچنین اظهار داشتند: «ابزارهای مدیریتی مانند ManageEngine Desktop Central زوهو، هدف‌های بسیار مطلوبی هستند. این ابزارها می‌توانند سرورها و نقاط پایانی، از جمله دستگاه‌های تلفن همراه را مدیریت کنند. اگر یک مهاجم بتواند راه‌حلی مانند Desktop Central را به خطر بیاندازد، گزینه‌های بسیاری مانند تسریع در شناسایی محیط هدف، توزیع بدافزار، از جمله باج‌افزار خود یا حتی نظارت از راه دور دستگاه‌های کاربران را در اختیار خواهد داشت.»

با توجه به این‌که این آسیب‌پذیری امکان اجرای کد از راه دور را فراهم می‌کند، بسیار مهم است که شرکت‌ها به‌محض دسترسی، وصله‌ها را اعمال کنند. آن دسته از نرم‌افزارهایی نیز که در معرض اینترنت قرار دارند، باید فوراً آفلاین شوند. درنهایت، ManageEngine اعلام کرد که در تاریخ ۷ مارس با انتشار نسخه‌ی ۱۰٫۰٫۴۷۹، این آسیب‌پذیری را وصله کرده است.

منبع

Related posts

Leave a Comment

بیست + شانزده =