27個(gè)SDK提權(quán)漏洞或?qū)⒂绊憯?shù)百萬(wàn)云用戶(hù)
Eltima SDK是眾多云服務(wù)商用來(lái)遠(yuǎn)程安裝本地USB設(shè)備的開(kāi)發(fā)包,可幫助企業(yè)員工安裝本地USB大容量存儲(chǔ)設(shè)備在其基于云的虛擬桌面上使用。在疫情的影響和遠(yuǎn)程辦公趨勢(shì)的影響下,Eltima SDK的使用頻率也在不斷增加,但近日,SentinelOne研究人員在Eltima SDK中發(fā)現(xiàn)了27個(gè)提權(quán)漏洞。
因包括亞馬遜Workspaces在內(nèi)的云桌面提供商均依賴(lài)Eltima等工具,SentinelOne警告說(shuō),全球數(shù)百萬(wàn)用戶(hù)已經(jīng)暴露在發(fā)現(xiàn)的漏洞中。
遠(yuǎn)程攻擊者可以利用這些漏洞在云桌面上獲得更高的訪(fǎng)問(wèn)權(quán)限,并在內(nèi)核模式下運(yùn)行代碼。
研究人員表示:“攻擊者利用這些漏洞提升自身的訪(fǎng)問(wèn)權(quán)限,可以禁用安全產(chǎn)品、覆蓋系統(tǒng)組件、破壞操作系統(tǒng)或不受阻礙地執(zhí)行惡意操作。”
這27個(gè)漏洞的具體CVE ID如下:
目前,Eltima已經(jīng)發(fā)布了受影響版本的修復(fù)程序,但需要云服務(wù)供應(yīng)商升級(jí)更新后以適配新版Eltima SDK。據(jù)SentinelOne稱(chēng),受影響的軟件和云平臺(tái)是:
Amazon Nimble Studio AMI,2021/07/29 之前版本
- Amazon NICE DCV,如下:2021.1.7744 (Windows)、2021.1.3560 (Linux)、2021.1.3590 (Mac)、2021/07/30
- Amazon WorkSpaces 代理,如下:v1.0.1.1537,2021/07/31
- Amazon AppStream 客戶(hù)端版本如下:1.1.304, 2021/08/02
- NoMachine [Windows 的所有產(chǎn)品,高于 v4.0.346 低于 v.7.7.4(v.6.x 也在更新)
- 適用于 Windows 的 Accops HyWorks 客戶(hù)端:v3.2.8.180 或更低版本
- 適用于 Windows 的 Accops HyWorks DVM 工具:版本 3.3.1.102 或更低(Accops HyWorks 產(chǎn)品的一部分低于 v3.3 R3)
- Eltima USB Network Gate 低于 9.2.2420 高于 7.0.1370
- Amzetta zPortal Windows zClient
- Amzetta zPortal DVM 工具
- FlexiHub 低于 5.2.14094(最新)高于 3.3.11481
- Donglify 低于1.7.14110(最新)高于1.0.12309
需要注意的是,SentinelOne研究人員并未研究所有可能包含易受攻擊的Eltima SDK產(chǎn)品,因此可能會(huì)有其他更多產(chǎn)品受到這組漏洞的影響。
此外,根據(jù)代碼共享策略,某些服務(wù)在客戶(hù)端容易受到攻擊,某些服務(wù)在服務(wù)器端容易受到攻擊,還有一些在兩者上都存在漏洞。
漏洞緩解措施
SentinelOne研究人員表示目前還未看到攻擊者利用這些漏洞的證據(jù),但出于謹(jǐn)慎考慮,企業(yè)管理員應(yīng)該在應(yīng)用安全更新之前撤銷(xiāo)特權(quán)憑據(jù),并且應(yīng)該仔細(xì)檢查日志以尋找可疑活動(dòng)的跡象。
大多數(shù)供應(yīng)商已經(jīng)修補(bǔ)了這些漏洞,并通過(guò)自動(dòng)更新來(lái)推動(dòng)它們。但是,有些需要最終用戶(hù)操作才能應(yīng)用安全更新,例如將客戶(hù)端應(yīng)用程序升級(jí)到最新的可用版本。
以下是不同供應(yīng)商發(fā)布的修復(fù)程序列表:
- 亞馬遜 – 于 2021 年 6 月 25 日向所有地區(qū)發(fā)布了修復(fù)程序
- Eltima – 2021 年 9 月 6 日發(fā)布的修復(fù)程序
- Accops – 于 2021 年 9 月 5 日發(fā)布了修復(fù)程序,并通知客戶(hù)進(jìn)行升級(jí)。此外,2021 年 12 月 4 日發(fā)布了用于檢測(cè)易受攻擊端點(diǎn)的實(shí)用程序
- Mechdyne - 尚未對(duì)研究人員做出回應(yīng)
- Amzetta – 2021 年 9 月 3 日發(fā)布了修復(fù)程序
- NoMachine – 2021 年 10 月 21 日發(fā)布了修復(fù)程序
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
