0
0
Pesquisadores do SentinelOne descobriram uma série de vulnerabilidades de escalonamento de privilégios no Eltima SDK, uma biblioteca usada por muitos serviços de compartilhamento de desktops e USB em nuvem, como Amazon Workspaces, NoMachine e Accops, para permitir que os usuários se conectem e compartilhem dispositivos locais pela rede.
“Essas vulnerabilidades permitem que atacantes escalonem privilégios, permitindo que eles desativem produtos de segurança, sobrescrevam componentes do sistema, corrompam o sistema operacional ou executem operações maliciosas desimpedidas”, compartilharam os pesquisadores.
As vulnerabilidades afetam tanto os serviços em nuvem quanto seus usuários finais. A boa notícia, no entanto, é que alguns dos primeiros já implementaram atualizações de segurança e que atualmente não há evidências de que as vulnerabilidades sejam ativamente abusadas por invasores.
Sobre as vulnerabilidades
As 27 vulnerabilidades numeradas pelo CVE afetam vários serviços em nuvem por provedores como Amazon (AWS), Eltima, Accops, NoMachine, Amzetta, FlexiHub e Donglify, cujos serviços de desktop virtual, streaming de aplicativos e compartilhamento “USB over Ethernet” se tornaram cada vez mais populares devido ao modelo de trabalho em casa adotado pelas empresas durante o auge da pandemia de Covid-19.
As vulnerabilidades são vulnerabilidades de estouro de inteiros e buffer que podem permitir que atacantes locais executem código arbitrário no modo kernel ou causem uma negação de serviço.
“Entre os abusos óbvios de tais vulnerabilidades estão que elas podem ser usadas para contornar produtos de segurança. Um invasor com acesso à rede de uma organização também pode obter acesso para executar código em sistemas não corrigidos e usar essa vulnerabilidade para obter elevação local de privilégios. Os atacantes podem então alavancar outras técnicas para girar para a rede mais ampla, como o movimento lateral”, explicaram os pesquisadores.
Remediação
A lista das versões afetadas de serviços em nuvem específicos e software cliente está disponível aqui.
“Os fornecedores lançaram atualizações de segurança para resolver essas vulnerabilidades. Alguns deles são aplicados automaticamente, enquanto outros exigem ações do cliente”, observaram os pesquisadores.
A Eltima lançou versões fixas do SDK e sua vulnerável oferta Eltima USB Network Gate.
AWS, NoMachine e Amzetta lançaram correções, e a Accops atualizou módulos (Accops HyWorks Client para Windows, Accops HyWorks DVM Tools) disponíveis em seu site, notificou os usuários para atualizar para essas novas versões e publicou uma ferramenta que detecta endpoints vulneráveis.
FONTE: TERRA