27 недостатков в SDK USB-over-network затрагивают миллионы пользователей облака

Последнее обновление 11.01.2023 — QGames

Исследователи обнаружили 27 уязвимостей в Eltima SDK, библиотеке, используемой многочисленными облачными провайдерами для удаленного подключения локального USB-устройства.

В связи с пандемией и растущей тенденцией к работе из дома организации начали в значительной степени полагаться на облачные сервисы. Эта необходимость также увеличила количество поставщиков облачных услуг, использующих SDK Eltima, который позволяет сотрудникам монтировать локальные запоминающие USB-устройства для использования на своих виртуальных рабочих столах в облаке.

Однако, поскольку провайдеры облачных настольных компьютеров, включая Amazon Workspaces, полагаются на такие инструменты, как Eltima, SentinelOne предупредил, что миллионы пользователей во всем мире стали подвержены обнаруженным уязвимостям.

Последствия использования недостатков значительны, поскольку они могут позволить удаленным злоумышленникам получить повышенный доступ на облачном рабочем столе для запуска кода в режиме ядра.

«Эти уязвимости позволяют злоумышленникам повышать привилегии, позволяя им отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции», — поясняется в новом отчете  Sentinel Labs.

Такой расширенный доступ может позволить вредоносному ПО украсть учетные данные, которые злоумышленники могут использовать для проникновения во внутреннюю сеть организации.

Всего SentinelOne обнаружил 27 уязвимостей, идентификаторы CVE которых указаны ниже:

CVE-2021-42972, CVE-2021-42973, CVE-2021-42976, CVE-2021-42977, CVE-2021-42979, CVE-2021-42980, CVE-2021-42983, CVE-2021-42986, CVE-2021-42987, CVE-2021-42988, CVE-2021-42990, CVE-2021-42993, CVE-2021-42994, CVE-2021-42996, CVE-2021-43000, CVE-2021-43002, CVE-2021-43003, CVE-2021-43006, CVE-2021-43637, CVE-2021-43638, CVE-2021-42681, CVE-2021-42682, CVE-2021-42683, CVE-2021-42685, CVE-2021-42686, CVE-2021-42687, CVE-2021-42688

Об этих уязвимостях ответственно было сообщено компании Eltima, которая уже выпустила исправления для уязвимых версий. Однако теперь облачные сервисы должны обновить свое программное обеспечение для использования обновленного Eltima SDK.

Согласно SentinelOne, уязвимое программное обеспечение и облачные платформы:

• Amazon Nimble Studio AMI, до 29.07.2021 г.
• Amazon NICE DCV, ниже: 2021.1.7744 (Windows), 2021.1.3560 (Linux), 2021.1.3590 (Mac), 2021/07/30
• Агент Amazon WorkSpaces, ниже: v1.0.1.1537, 2021/07/31
• Версия клиента Amazon AppStream ниже: 1.1.304, 2021/08/02
• NoMachine [все продукты для Windows], выше v4.0.346 ниже v.7.7.4 (v.6.x также обновляется)
• Клиент Accops HyWorks для Windows: версия v3.2.8.180 или более ранняя
• Accops HyWorks DVM Tools для Windows: версия 3.3.1.102 или ниже (часть продукта Accops HyWorks более ранней, чем v3.3 R3)
• Eltima USB Network Gate ниже 9.2.2420 выше 7.0.1370
• Amzetta zPortal Windows zClient
• Инструменты Amzetta zPortal DVM
• FlexiHub ниже 5.2.14094 (последняя) выше 3.3.11481
• Donglify ниже 1.7.14110 (последняя) выше 1.0.12309

Важно отметить, что Sentinel Labs не изучила все возможные продукты, которые могут включать уязвимый Eltima SDK, поэтому может быть больше продуктов, затронутых набором недостатков.

Кроме того, некоторые службы уязвимы на стороне клиента, другие — на стороне сервера, а некоторые — на обеих сторонах, в зависимости от политик совместного использования кода.

Защита от этих уязвимостей

Sentinel Labs поясняет, что не обнаружила никаких доказательств того, что злоумышленники использовали эти уязвимости. Тем не менее, теперь, когда был выпущен технический отчет, мы, вероятно, увидим эксплуатацию в будущем.

Из-за большой осторожности администраторы должны отозвать привилегированные учетные данные перед применением обновлений безопасности, а журналы должны быть тщательно проверены на наличие признаков подозрительной активности. 

Большинство поставщиков исправили недостатки и протолкнули их с помощью автоматических обновлений. Однако некоторые требуют действий конечного пользователя для применения обновлений безопасности, таких как обновление клиентского приложения до последней доступной версии.

Ниже приведен список исправлений, выпущенных разными поставщиками:

• Amazon — исправления выпущены для всех регионов 25 июня 2021 г.
• Eltima — исправления выпущены 6 сентября 2021 г.
• Accops — выпустила исправления 5 сентября 2021 г. и уведомила клиентов о необходимости обновления. Кроме того, 4 декабря 2021 года выпущена утилита для обнаружения уязвимых конечных точек.
• Mechdyne — еще не ответил исследователям
• Amzetta — исправления выпущены 3 сентября 2021 г.
• NoMachine — исправления выпущены 21 октября 2021 г.