SÅRBARHETER

Avslørte kritisk hull i programvare for flåtestyring

La ut nulldagssårbarhet og angrepskode, uten å ha informert utgiveren i forkant.

En sikkerhetsforsker avslørte nulldagssårbarhet i Zoho-programvare.
En sikkerhetsforsker avslørte nulldagssårbarhet i Zoho-programvare. Montasje: Samuel J John / Twitter / digi.no
7. mars 2020 - 18:00

En sikkerhetsforsker la torsdag ut detaljer om en kritisk sårbarhet i enterprise-løsningen Manage Engine fra Zoho.

Dette er et system for flåtestyring av både mobiltelefoner, Linux-servere, samt Mac- og Windows-baserte datamaskiner.

Zdnet skriver at det er grunn til å frykte misbruk, etter at nulldagssårbarheten og konseptkode for utnyttelse av svakheten ble offentliggjort i går.

En sikkerhetsforsker kalt Steven Steeley skal ha publisert dette. Det gjorde han tilsynelatende uten å kontakte programvareleverandøren i forkant.

Normal praksis er å gi utgiveren rimelig med tid til å rette feil, altså en etisk forsvarlig varsling, men det ser ikke ut til å ha skjedd i dette tilfellet.

Sårbarheten skal gjøre det mulig for angripere å kjøre vilkårlig kode, helt uten autentisering og med administrative rettigheter. Det betyr at de kan ta kontroll over berørte installasjoner av Manage Enige Desktop Central, og antakelig enhetene som løsningen styrer.

Steeley oppgir at han røper sårbarheten direkte fordi Zoho ifølge ham «typisk ignorerer sikkerhetsforskere».

Zoho har i hvert fall ikke ignorert avsløringen. I et svar på Twitter skriver de at de har identifisert feilen og nå jobber med en sikkerhetsoppdatering. Arbeidet har høyeste prioritet, opplyser de.

Flere tusen eksponerte servere

Nate Warfield, en analytiker som jobber for Microsoft Security Response Center, har sjekket hvor mange som kan være berørt av sårbarheten.

I en twittermelding viser han til oppslag i søkemotoren Shodan, som indikerer at det er anslagsvis 2.300 eksponerte servere med Manage Engine.

Alle disse installasjonene kan etter alt å dømme fungere som inngangsporter til bedriftene, som dermed er truet av lekkasjen, ifølge Zdnet.

De har også snakket med sikkerhetseksperter som mener at sårbarheten kan åpne for ytterligere innbrudd blant interne systemer, gjennom en teknikk kalt sideveis bevegelse eller «lateral movement».

Zoho er en amerikansk tilbyder av forretningssystemer, blant annet kundehåndteringsløsning (CRM), men også en portefølje av driftsrelaterte verktøy. Selskapet som retter seg mot små- og mellomstore kunder oppgir å ha mer enn 50 millioner bedriftskunder over hele verden.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra