شرکت زوهو به کاربران محصولات خود در خصوص وجود یک آسیبپذیری امنیتی با درجه اهمیت “حیاتی” (Critical) در بسترهای Zoho ManageEngine Desktop Central و Desktop Central MSP هشدار داده است.به گزارش مرکز مدیریت راهبردی افتا، ضعف امنیتی یادشده دارای شناسه CVE-۲۰۲۱-۴۴۷۵۷ و از نوع Authentication-bypass است و میتواند برای مهاجم، امکان “اجرای کد از راه دور” و انجام فعالیتهای غیرمجاز را در سرور بدون اصالتسنجی فراهم کند.
بنا بر توصیهنامه شرکت زوهو (Zoho Corporation)، این ضعف امنیتی میتواند امکان دسترسی مهاجمان را به اطلاعات غیرمجاز و همچنین امکان قراردادن یک فایل .ZIP را بر روی سرور فراهم کند.
Zoho ManageEngine Desktop Central راهکار یکپارچه مدیریت Endpoint(Unified Endpoint Management – بهاختصار UEM) است که مدیران فناوری اطلاعات از طریق آن سرورها، لپتاپها، رایانههای رومیزی، تلفنهای هوشمند و تبلتها را از یک مکان مرکزی مدیریت میکنند.
بنا بر مستندات شرکت زوهو، کاربران میتوانند روالهایی همچون نصب وصلههای بهروزرسانی، توزیع نرمافزار و سیستمعامل را در شبکه خودکار کنند. همچنین میتوان از آن برای مدیریت داراییها و مجوزهای نرمافزار، نظارت بر آمار میزان استفاده از نرمافزار، مدیریت استفاده از دستگاههای USB، کنترل دسکتاپهای راه دور و موارد دیگر استفاده کرد.
با استفاده از امکانات Zoho ManageEngine بر روی دستگاههای همراه نیز کاربران میتوانند علاوه بر پیادهسازی پروفایلها و سیاستها، دستگاهها را برای بهکارگیری Wi-Fi، VPN و حسابهای ایمیل پیکربندی کنند؛ همچنین اعمال محدودیت در نصب برنامه، استفاده از دوربین و مرورگر، مدیریت امنیت از طریق تعریف رمز عبور و قابلیت قفل/پاککردن از راه دور از دیگر مواردی است که از طریق بستر مدیریتی یادشده، قابل انجام است.
بهاینترتیب، این بستر، دسترسی گستردهای به زیرساختهای فناوری اطلاعات یک سازمان فراهم میکند و به طور بالقوه در صورت سوءاستفاده، به افشای اطلاعات، میتواند منجر شود. همچنین، فراهم شدن امکان نصب یک فایل .ZIP با سوءاستفاده از Zoho Desktop Central، نصب بدافزار در تمام نقاط پایانی بر روی این بستر مدیریتی را برای مهاجم سهل و آسان میکند.
نسخه MSP نیز همانطور که از نامش پیداست، برای شرکتهای ارائهدهنده خدمات مدیریتشده (Managed Service Provider – بهاختصار MSP)، قابلیت مدیریت EndPointرا برای ارائه به مشتریان آنها فراهم میکند.
مهاجم از ضعف امنیتی به شناسه CVE-۲۰۲۱-۴۴۷۵۷ میتواند در حملات موسوم به زنجیره تأمین (Supply-Chain attack) سوءاستفاده کند.
مجرمان سایبری میتوانند بهسادگی با سوءاستفاده از این آسیبپذیری، به نسخه MSP Desktop Central MSP نفوذ کرده و بر اساس تنظیمات امنیتی شرکت ارائهدهنده آن، به طور بالقوه به مشتریانی، دسترسی پیدا کنند که از آنها خدمات دریافت میکنند.
شرکت زوهو، با انتشار توصیهنامههایی در نشانیهای زیر، جزئیات وصلهها را منتشر کرده و راهبران امنیتی را برای درامانماندن از تهدیدات، به بهروزرسانی Zoho ManageEngine تشویق میکند.
https://www.manageengine.com/products/desktop-central/cve-۲۰۲۱-۴۴۷۵۷.html
https://www.manageengine.com/desktop-management-msp/cve-۲۰۲۱-۴۴۷۵۷.html
این شرکت همچنین نکاتی را برای مقاومسازی کلی بسترهای Desktop Central در نشانیهای زیر ارائه کرده است.
https://pitstop.manageengine.com/portal/en/community/topic/desktop-central-server-hardening-guidelines
https://www.manageengine.com/products/desktop-central/security-recommendations.html
این شرکت در خصوص این که آیا به ضعف امنیتی CVE-۲۰۲۱-۴۴۷۵۷ بهعنوان آسیبپذیری “روز – صفر” (Zero-day) حملهای شده یا خیر؟ اطلاعرسانی نکرده است؛ اما چنانچه تاکنون مهاجمان سایبری از آن سوءاستفاده نکردهاند، احتمال آن وجود دارد که بهزودی به بهرهجویی از آن و هدف قراردادن زیرساختهای سازمانها شروع کنند.
بستر ManageEngine باتوجهبه کاربرد وسیع و ماهیت همهجانبه آن، هدف جذابی برای مهاجمان است. در ماه سپتامبر نیز آسیبپذیری دیگری با درجه اهمیت “حیاتی” با شناسه CVE-۲۰۲۱-۴۰۵۳۹ در بستر Zoho ManageEngine ADSelfService Plus شناسایی شد و شرکت زوهو با انتشار توصیهنامه امنیتی به نشانی زیر، بهروزرسانی مربوط را نیز ارائه داد.
این آسیبپذیری امکان کنترل Active Directory و حسابهای Cloud کاربران را برای مهاجمان از راه دور با دورزدن سازوکارهای احراز هویت فراهم میکرد.
طبق اظهارات آژانس امنیت سایبری و حفاظت از زیرساخت ایالات متحده (Cybersecurity and Infrastructure Security Agency – بهاختصار CISA)، از ضعف امنیتی CVE-۲۰۲۱-۴۰۵۳۹ قبل از انتشار توصیهنامه نیز به طور فعال در حملات سوءاستفاده شده بود.
در ماه دسامبر نیز FBI، نسبت به آسیبپذیری “روز – صفر” با شناسه CVE-۲۰۲۱-۴۴۵۱۵ در Zoho ManageEngine هشداری رسمی صادر کرد که در حملات APT (Advanced Persistent Threat) از آن به طور فعال سوءاستفاده شده بود. اطلاعیه رسمی FBI دراینخصوص در نشانی زیر قابل دریافت است:
https://www.ic۳.gov/Media/News/۲۰۲۱/۲۱۱۲۲۰.pdf
ضعف امنیتی یادشده، میتواند برای مهاجمان امکان لغو عملکردهای قانونی را از راه دور در سرورهایی که ManageEngine Desktop Central را اجرا میکنند به همراه دسترسی سطح بالا باهدف استقرار بدافزار در شبکههای سازمانی فراهم کند.
منبع:
(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما