พบช่องโหว่ Zero-day บนผลิตภัณฑ์ Zoho ManageEngine

Steven Seeley นักวิจัยด้านความมั่นคงปลอดภัยได้เปิดเผยช่องโหว่ Zero-day บนผลิตภัณฑ์ ManageEngine Desktop Central ของบริษัท Zoho ซึ่งทำให้แฮ็กเกอร์สามารถลอบรันโค้ดจากทางไกลในสิทธิ์ระดับสูงได้

credit : zoho

Zoho Corporation เป็นบริษัทด้านซอฟต์แวร์สัญชาติอเมริกัน-อินเดีย โดยผลิตภัณฑ์ระดับองค์กรที่พบปัญหาในครั้งนี้คือ ManageEngine Desktop Central หรือโซลูชันด้าน Endpoint Mangement ที่ช่วยให้ผู้ดูแลขององค์กรสามารถควบคุมอุปกรณ์ต่างได้ เช่น การอัปเดต ควบคุมระบบจากทางไกล ล็อกอุปกรณ์ หรือจำกัดการเข้าถึง เป็นต้น 

โดยช่องโหว่เกิดขึ้นใน FileStorage ที่ตรวจสอบข้อมูลจากผู้ใช้ไม่ดีพอ ทำให้เกิดการ Deserialization และนำไปสู่การลอบรันโค้ดในบริบทของ SYSTEM ได้ ปัจจุบันนักวิจัยไม่ได้แจ้งต่อบริษัทแต่เปิดเผยโค้ด PoC ผ่านออนไลน์ ซึ่งล่าสุดทาง Zoho ออกแพตช์มาแล้วที่นี่ (CVE-2020-10189) โดยข้อมูลจาก Microsoft ระบุว่าการใช้งาน ManagedEngine Desktop Central กว่า 2,300 เครื่องที่เชื่อมต่อกับอินเทอร์เน็ต

ที่มา :  https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/ และ  https://www.securityweek.com/zoho-working-patch-zero-day-vulnerability-manageengine-product

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …