EltimaSDK是许多云服务商用来远程安装本地USB设备的开发包。它可以帮助企业员工在其基于云的虚拟桌面上使用安装本地USB大容量存储设备。在疫情和远程办公趋势的影响下,EltimaSDK的使用频率也越来越高。然而,最近,SentinelOne研究人员在EltimaSDK中发现了27个提权漏洞。由于包括AmazonWorkspaces在内的云桌面提供商依赖Eltima等工具,SentinelOne警告说,全球数百万用户已经暴露于已发现的漏洞。远程攻击者可以利用这些漏洞在云桌面上获得提升的访问权限并在内核模式下运行代码。研究人员表示:“攻击者利用这些漏洞提升自己的访问权限,可以禁用安全产品、覆盖系统组件、破坏操作系统或不受阻碍地执行恶意操作。”27个漏洞的具体CVEID如下:目前Eltima已经发布了受影响版本的修复,但云服务商需要升级更新以适配新版本的EltimaSDK。据SentinelOne了解,受影响的软件和云平台有:AmazonNimbleStudioAMI、AmazonNICEDCV2021/07/29之前的版本,具体如下:2021.1.7744(Windows)、2021.1.3560(Linux)、2021.1.3590(Mac)),2021/07/30AmazonWorkSpacesagent,如下:v1.0.1.1537,2021/07/31AmazonAppStream客户端版本如下:1.1.304,2021/08/02NoMachine[Windows所有产品,高于v4.0.346早于v.7.7.4(v.6.x也在更新中)适用于Windows的AccopsHyWorks客户端:v3.2.8.180或更早版本适用于Windows的AccopsHyWorksDVM工具:版本3.3.1.102或更低版本(部分AccopsHyWorks产品低于v3.3R3)EltimaUSBNetworkGate低于9.2.2420高于7.0.1370AmzettazPortalWindowszClientAmzettazPortalDVM工具FlexiHub低于5.2.14094(最新)高于3.3.11481Donglify低于1.7.14110(最新)高于1.0.12309请注意,SentinelOne研究人员并未研究所有可能包含漏洞的EltimaSDK产品,因此m可能会有更多的产品受到这组漏洞的影响。此外,有些服务在客户端容易受到攻击,有些在服务器端容易受到攻击,有些在两者都容易受到攻击,具体取决于代码共享策略。漏洞缓解SentinelOne研究人员表示,他们没有看到攻击者利用这些漏洞的证据,但出于谨慎考虑,企业管理员应在应用安全更新之前撤销特权凭据,并应仔细检查日志以查找可疑活动的迹象。大多数供应商已经修补了这些漏洞并通过自动更新推送它们。但是,有些需要最终用户操作才能应用安全更新,例如将客户端应用程序升级到最新的可用版本。以下是不同供应商发布的修复程序列表:Amazon–2021年6月25日向所有地区发布修复程序Eltima–2021年9月6日发布修复程序Accops–2021年9月5日发布修复程序并通知客户升级。此外,用于检测易受攻击端点的实用程序Mechdyne已于2021年12月4日发布-尚未对研究人员做出回应Amzetta-已于2021年9月3日发布NoMachine-已于2021年10月21日发布修复程序[本文为原创文章专栏作者“安全牛”,转载请通过安全牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
