27個SDK提權漏洞或將影響數百萬云用戶
Eltima SDK是眾多云服務商用來遠程安裝本地USB設備的開發包,可幫助企業員工安裝本地USB大容量存儲設備在其基于云的虛擬桌面上使用。在疫情的影響和遠程辦公趨勢的影響下,Eltima SDK的使用頻率也在不斷增加,但近日,SentinelOne研究人員在Eltima SDK中發現了27個提權漏洞。
因包括亞馬遜Workspaces在內的云桌面提供商均依賴Eltima等工具,SentinelOne警告說,全球數百萬用戶已經暴露在發現的漏洞中。
遠程攻擊者可以利用這些漏洞在云桌面上獲得更高的訪問權限,并在內核模式下運行代碼。
研究人員表示:“攻擊者利用這些漏洞提升自身的訪問權限,可以禁用安全產品、覆蓋系統組件、破壞操作系統或不受阻礙地執行惡意操作。”
這27個漏洞的具體CVE ID如下:
目前,Eltima已經發布了受影響版本的修復程序,但需要云服務供應商升級更新后以適配新版Eltima SDK。據SentinelOne稱,受影響的軟件和云平臺是:
Amazon Nimble Studio AMI,2021/07/29 之前版本
- Amazon NICE DCV,如下:2021.1.7744 (Windows)、2021.1.3560 (Linux)、2021.1.3590 (Mac)、2021/07/30
- Amazon WorkSpaces 代理,如下:v1.0.1.1537,2021/07/31
- Amazon AppStream 客戶端版本如下:1.1.304, 2021/08/02
- NoMachine [Windows 的所有產品,高于 v4.0.346 低于 v.7.7.4(v.6.x 也在更新)
- 適用于 Windows 的 Accops HyWorks 客戶端:v3.2.8.180 或更低版本
- 適用于 Windows 的 Accops HyWorks DVM 工具:版本 3.3.1.102 或更低(Accops HyWorks 產品的一部分低于 v3.3 R3)
- Eltima USB Network Gate 低于 9.2.2420 高于 7.0.1370
- Amzetta zPortal Windows zClient
- Amzetta zPortal DVM 工具
- FlexiHub 低于 5.2.14094(最新)高于 3.3.11481
- Donglify 低于1.7.14110(最新)高于1.0.12309
需要注意的是,SentinelOne研究人員并未研究所有可能包含易受攻擊的Eltima SDK產品,因此可能會有其他更多產品受到這組漏洞的影響。
此外,根據代碼共享策略,某些服務在客戶端容易受到攻擊,某些服務在服務器端容易受到攻擊,還有一些在兩者上都存在漏洞。
漏洞緩解措施
SentinelOne研究人員表示目前還未看到攻擊者利用這些漏洞的證據,但出于謹慎考慮,企業管理員應該在應用安全更新之前撤銷特權憑據,并且應該仔細檢查日志以尋找可疑活動的跡象。
大多數供應商已經修補了這些漏洞,并通過自動更新來推動它們。但是,有些需要最終用戶操作才能應用安全更新,例如將客戶端應用程序升級到最新的可用版本。
以下是不同供應商發布的修復程序列表:
- 亞馬遜 – 于 2021 年 6 月 25 日向所有地區發布了修復程序
- Eltima – 2021 年 9 月 6 日發布的修復程序
- Accops – 于 2021 年 9 月 5 日發布了修復程序,并通知客戶進行升級。此外,2021 年 12 月 4 日發布了用于檢測易受攻擊端點的實用程序
- Mechdyne - 尚未對研究人員做出回應
- Amzetta – 2021 年 9 月 3 日發布了修復程序
- NoMachine – 2021 年 10 月 21 日發布了修復程序
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
