Zoho: une faille de sécurité critique a été découverte

Une vulnérabilité zero-day a été révélée dans le logiciel de Zoho Corp. Cette faille de sécurité permet à un hacker distant non authentifié de lancer des attaques sur les systèmes affectés. Zoho a distribué un patch de sécurité corrigeant la vulnérabilité.

Depuis le lundi 9 mars, la vulnérabilité semble être activement exploitée par des pirates informatiques, selon un rapport du Center for Internet Security.

zoho

La vulnérabilité se trouve dans Zoho ManageEngine Desktop Central, un outil de gestion des points de terminaison pour aider les utilisateurs à gérer leurs serveurs, ordinateurs portables, smartphones, etc… Steven Seeley de Source Incite, a révélé la faille sur Twitter, ainsi qu’un exploit preuve de concept (PoC).

«Cette vulnérabilité permet à des pirates distants d’exécuter du code arbitraire sur les installations affectées de Zoho ManageEngine Desktop Central. L’authentification n’est pas requise pour exploiter cette vulnérabilité », selon Seeley.

Selon Seeley, la faille spécifique se trouve dans la classe FileStorage de Desktop Central. La classe FileStorage est utilisée pour stocker des données dans un fichier ou lire des données sur un fichier. Le problème est causé par une validation incorrecte des données fournies par l’utilisateur, ce qui peut entraîner la dé-sérialisation des données non fiables.

Seeley a déclaré qu’un pirate peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte de SYSTEM, en leur donnant «un contrôle total de la machine ciblé».

Selon Seeley, qui a également publié une attaque PoC(preuve de concept) pour la faille sur Twitter, la vulnérabilité a une note de 9,8 sur 10 sur l’échelle CVSS, ce qui la rend critique en termes de gravité. Nate Warfield, chercheur en sécurité chez Microsoft, a signalé l’existence d’au moins 2 300 systèmes Zoho potentiellement exposés en ligne.

Rick Holland, vice-président de la stratégie chez Digital Shadows, a déclaré que si un pirate informatique peut compromettre une solution logicielle comme ManageEngine, il aura tout les droits sur l’environnement d’une entreprise ciblé.

“Un pirate dispose d’une myriade d’options qui ne se limitent pas à: accélérer la reconnaissance de l’environnement cible, déployer des logiciels malveillants, y compris les ransomwares, ou même surveiller à distance les machines des utilisateurs”, a déclaré Holland. «Étant donné que cette vulnérabilité permet l’exécution de code à distance sans authentification, il est encore plus vital que les entreprises déploient un patch dès qu’il est disponible. »

Zoho avait déclaré sur Twitter: «nous avons identifié le problème et travaillons sur un correctif avec une priorité absolue. Nous mettrons à jour une fois cela fait.”

Seeley a déclaré qu’il n’avait pas contacté Zoho avant de divulguer la vulnérabilité en raison d’expériences antérieures négatives avec l’entreprise concernant la divulgation de vulnérabilité. «Je l’avais déjà fait pour d’autres vulnérabilités critiques et ils m’ont ignoré», a-t-il déclaré.

Une communauté de chercheurs partagées sur cette divulgation de la faille Zoho

Cette divulgation irresponsable a provoqué des opinions mitigées de la part des autres experts en sécurité. Certains ont déclaré que cela augmente la vulnérabilité des systèmes concernés face aux pirates informatiques.

«Il semble y avoir une rupture de communication entre les chercheurs indépendants et les fournisseurs de solutions logicielles, ce qui conduit inévitablement à des protocoles de correction inefficaces et à l’exposition d’informations sensibles qui offrent aux pirates informatiques des vecteurs de menace qui seraient autrement inconnus.»

zoho

Tim Wade, directeur technique chez Vectra, a déclaré que l’incident met en évidence la nécessité de meilleures relations entre les chercheurs en sécurité et les entreprises.

“Apparemment, la réputation de Zoho d’ignorer les chercheurs en sécurité qui ont trouvé des failles exploitables dans leurs produits a été prise en compte dans cette décision de divulgation directe au public”, a-t-il déclaré. «Bien que le bien-fondé de cette décision puisse être discuté de plusieurs points de vue, elle souligne la nécessité pour les entreprises de logiciels de favoriser de meilleures relations avec la communauté de la sécurité informatique.»

Les chercheurs ont précédemment découvert plusieurs failles critiques en 2018 dans le logiciel ManageEngine de Zoho. Au total, sept vulnérabilités ont été découvertes, chacune permettant à un pirate de prendre le contrôle des serveurs hôtes exécutant la suite d’applications SaaS de ManageEngine. Il y’a eu un nombre considérable de campagnes d’hameçonnage de keylogger étaient liées au logiciel de la suite bureautique en ligne Zoho.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x