شرکت زوهو کورپوریشن (Zoho Corporation) به کاربران محصولات خود در خصوص وجود یک آسیبپذیری امنیتی با درجه اهمیت “حیاتی” (Critical) در بسترهای Zoho ManageEngine Desktop Central و Desktop Central MSP هشدار داده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ضعف امنیتی مذکور مورد بررسی قرار گرفته است.
ضعف امنیتی مذکور دارای شناسه CVE-2021-44757 و از نوع Authentication-bypass بوده و میتواند برای مهاجم، امکان “اجرای کد از راه دور” و انجام فعالیتهای غیرمجاز را در سرور بدون اصالتسنجی فراهم کند. بنا بر توصیهنامهای که شرکت مذکور در این خصوص منتشر نموده، این ضعف امنیتی میتواند امکان دسترسی به اطلاعات غیرمجاز و همچنین امکان قرار دادن یک فایل ZIP. بر روی سرور را توسط مهاجمان فراهم آورد.
Zoho ManageEngine Desktop Central راهکار یکپارچه مدیریت نقاط پایانی (Unified Endpoint Management – به اختصار UEM) است که مدیران فناوری اطلاعات از طریق آن سرورها، لپتاپها، کامپیوترهای رومیزی، تلفنهای هوشمند و تبلتها را از یک مکان مرکزی مدیریت میکنند.
بنا بر مستندات شرکت مذکور، کاربران میتوانند روالهایی همچون نصب وصلههای بروز رسانی، توزیع نرمافزار و سیستمعامل در شبکه را خودکار کنند. همچنین میتوان از آن برای مدیریت داراییها و مجوزهای نرمافزار، نظارت بر آمار میزان استفاده از نرمافزار، مدیریت استفاده از دستگاههای USB، کنترل دسکتاپهای راه دور و موارد دیگر استفاده کرد.
با استفاده از امکانات Zoho ManageEngine بر روی دستگاههای همراه نیز کاربران میتوانند علاوه بر پیادهسازی پروفایلها و سیاستها، دستگاهها را برای بکارگیری Wi-Fi ،VPN و حسابهای ایمیل پیکربندی کنند؛ همچنین اعمال محدودیت در نصب برنامه، استفاده از دوربین و مرورگر، مدیریت امنیت از طریق تعریف رمز عبور و قابلیت قفل/پاک کردن از راه دور از دیگر مواردی است که از طریق بستر مدیریتی مذکور قابل انجام است.
به این ترتیب، این بستر، دسترسی گستردهای به زیرساختهای فناوری اطلاعات یک سازمان فراهم میکند و به طور بالقوه در صورت سوءاستفاده، میتواند منجر به افشای اطلاعات شود. همچنین، فراهم شدن امکان نصب یک فایل ZIP. با سوء استفاده از Zoho Desktop Central، نصب بدافزار در تمام نقاط پایانی بر روی این بستر مدیریتی را برای مهاجم سهل و آسان میکند.
نسخه MSP نیز همانطور که از نامش پیداست، برای شرکتهای ارائهدهنده خدمات مدیریتشده (Managed Service Provider – به اختصار MSP)، قابلیت مدیریت نقاط پایانی را جهت ارائه به مشتریان آنها فراهم میکند. سوءاستفاده از ضعف امنیتی به شناسه CVE-2021-44757 در آن میتواند توسط مهاجم در حملات موسوم به زنجیره تامین (Supply-Chain attack) بکار گرفته شود.
مجرمان سایبری میتوانند به سادگی با سوءاستفاده از آسیبپذیری مذکور، به نسخه MSP Desktop Central MSP نفوذ کرده و بر اساس تنظیمات امنیتی وضع شده توسط شرکت ارائهدهنده، به طور بالقوه به مشتریانی که از آنها خدمات دریافت میکنند، دسترسی پیدا کنند.
شرکت زوهو، با انتشار توصیهنامههایی در نشانیهای زیر، جزییات وصلهها را منتشر نموده و راهبران امنیتی را جهت در امان ماندن از تهدیدات، تشویق به بهروزرسانی Zoho ManageEngine میکند.
https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
https://www.manageengine.com/desktop-management-msp/cve-2021-44757.html
این شرکت همچنین نکاتی را برای مقاومسازی کلی بسترهای Desktop Central در نشانیهای زیر ارائه کرده است.
https://pitstop.manageengine.com/portal/en/community/topic/desktop-central-server-hardening-guidelines
https://www.manageengine.com/products/desktop-central/security-recommendations.html
این شرکت در خصوص این که آیا ضعف امنیتی مذکور به عنوان آسیبپذیری “روز-صفر” (Zero-day) مورد حمله قرار گرفته یا خیر، اطلاعرسانی نکرده است. اما چنانچه تاکنون مهاجمان سایبری آن را مورد سوءاستفاده قرار ندادهاند، احتمال آن وجود دارد که به زودی شروع به بهرهجویی از آن و هدف قرار دادن زیرساختهای سازمانها نمایند.
بستر ManageEngine با توجه به کاربرد وسیع و ماهیت همهجانبه آن، هدف جذابی برای مهاجمان است. در ماه سپتامبر نیز آسیبپذیری دیگری با درجه اهمیت “حیاتی” با شناسه CVE-2021-40539 در بستر Zoho ManageEngine ADSelfService Plus شناسایی شد و شرکت زوهو با انتشار توصیهنامه امنیتی به نشانی زیر، بهروزرسانی مربوطه را نیز ارائه داد.
این آسیبپذیری امکان کنترل Active Directory و حسابهای ابری کاربران را برای مهاجمان از راه دور با دور زدن سازوکارهای احراز هویت فراهم میکرد. طبق اظهارات آژانس امنیت سایبری و حفاظت از زیرساخت ایالات متحده (Cybersecurity and Infrastructure Security Agency – به اختصار CISA)، ضعف امنیتی مذکور قبل از انتشار توصیهنامه نیز به طور فعال در حملات مورد سوءاستفاده قرار میگرفته است.
در ماه دسامبر نیز FBI، نسبت به آسیبپذیری “روز-صفر” با شناسه CVE-2021-44515 در Zoho ManageEngine که در حملات گروه تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) به طور فعال مورد سوءاستفاده قرار میگرفت، هشداری رسمی صادر کرد. اطلاعیه رسمی FBI در این خصوص در نشانی زیر قابل دریافت است:
https://www.ic3.gov/Media/News/2021/211220.pdf
ضعف امنیتی مذکور، میتواند برای مهاجمان امکان لغو توابع معتبر را از راه دور در سرورهایی که ManageEngine Desktop Central را اجرا میکنند به همراه “ترفیع مجوز” (Elevation of Privilege) با هدف استقرار بدافزار در شبکههای سازمانی فراهم کند.
منبع:
https://threatpost.com/critical-manageengine-desktop-server-bug-malware/177705/