شرکت توسعهدهندهی ابزارهای تجاری زوهو (Zoho) از انتشار وصلهای برای آسیبپذیری روز صفرم موجود در محصول ManageEngine Desktop Central خود خبر داد. نرمافزار ManageEngine Desktop Central، برای کمک به سازمانها در مدیریت سرورها، لپتاپها، رایانههای رومیزی و دستگاههای تلفن همراه طراحی شده است. این راهحل شامل امکاناتی برای نصب وصلهها، استقرار نرمافزار و سیستم عاملها، مدیریت داراییها، دستیابی به آمار استفاده از نرمافزار و کنترل دستگاههای از راه دور میباشد. وبسایت فروشنده بیش از هزار مشتری را برای این نرمافزار فهرست کرده است.
به گفتهی محققان این آسیبپذیری بحرانی که با شناسهی CVE-2020-10189 ردیابی میشود، میتواند توسط یک مهاجم از راه دور و غیرمجاز برای اجرای کد دلخواه با امتیازات بالا مورد بهرهبرداری قرار بگیرد. محققان توضیح دادند: «این آسیبپذیری در گروه FileStorage وجود دارد. این اشکال امنیتی که از عدم اعتبارسنجی صحیح دادههای ارائهشده توسط کاربر ناشی میشود، میتواند منجر به deserialization دادههای غیرقابلاعتماد شود. مهاجم میتواند از این آسیبپذیری برای اجرای کد در چارچوب SYSTEM استفاده کند.» مشاورهنامه و همچنین، اثبات مفهومی (PoC) این آسیبپذیری که برای اولین بار در دسامبر سال ۲۰۱۹ میلادی کشف شد، هماکنون در دسترس است.
محققان مایکروسافت خاطرنشان کردند: «جستجوی Shodan، بیش از ۲۳۰۰ نصب این نرمافزار در معرض اینترنت را نشان میدهد، بنابراین، مهاجمان شانس زیادی برای هدف قراردادن این آسیبپذیری دارند.» محققان همچنین اظهار داشتند: «ابزارهای مدیریتی مانند ManageEngine Desktop Central زوهو، هدفهای بسیار مطلوبی هستند. این ابزارها میتوانند سرورها و نقاط پایانی، از جمله دستگاههای تلفن همراه را مدیریت کنند. اگر یک مهاجم بتواند راهحلی مانند Desktop Central را به خطر بیاندازد، گزینههای بسیاری مانند تسریع در شناسایی محیط هدف، توزیع بدافزار، از جمله باجافزار خود یا حتی نظارت از راه دور دستگاههای کاربران را در اختیار خواهد داشت.»
با توجه به اینکه این آسیبپذیری امکان اجرای کد از راه دور را فراهم میکند، بسیار مهم است که شرکتها بهمحض دسترسی، وصلهها را اعمال کنند. آن دسته از نرمافزارهایی نیز که در معرض اینترنت قرار دارند، باید فوراً آفلاین شوند. درنهایت، ManageEngine اعلام کرد که در تاریخ ۷ مارس با انتشار نسخهی ۱۰٫۰٫۴۷۹، این آسیبپذیری را وصله کرده است.