27個SDK提權漏洞或將影響數百萬云用戶

Eltima SDK是眾多云服務商用來遠程安裝本地USB設備的開發包，可幫助企業員工安裝本地USB大容量存儲設備在其基于云的虛擬桌面上使用。在疫情的影響和遠程辦公趨勢的影響下，Eltima SDK的使用頻率也在不斷增加，但近日，SentinelOne研究人員在Eltima SDK中發現了27個提權漏洞。

因包括亞馬遜Workspaces在內的云桌面提供商均依賴Eltima等工具，SentinelOne警告說，全球數百萬用戶已經暴露在發現的漏洞中。

遠程攻擊者可以利用這些漏洞在云桌面上獲得更高的訪問權限，并在內核模式下運行代碼。

研究人員表示：“攻擊者利用這些漏洞提升自身的訪問權限，可以禁用安全產品、覆蓋系統組件、破壞操作系統或不受阻礙地執行惡意操作。”

這27個漏洞的具體CVE ID如下：

目前，Eltima已經發布了受影響版本的修復程序，但需要云服務供應商升級更新后以適配新版Eltima SDK。據SentinelOne稱，受影響的軟件和云平臺是：

• Amazon Nimble Studio AMI，2021/07/29 之前版本
• Amazon NICE DCV，如下：2021.1.7744 (Windows)、2021.1.3560 (Linux)、2021.1.3590 (Mac)、2021/07/30
• Amazon WorkSpaces 代理，如下：v1.0.1.1537，2021/07/31
• Amazon AppStream 客戶端版本如下：1.1.304, 2021/08/02
• NoMachine [Windows 的所有產品，高于 v4.0.346 低于 v.7.7.4（v.6.x 也在更新）
• 適用于 Windows 的 Accops HyWorks 客戶端：v3.2.8.180 或更低版本
• 適用于 Windows 的 Accops HyWorks DVM 工具：版本 3.3.1.102 或更低（Accops HyWorks 產品的一部分低于 v3.3 R3）
• Eltima USB Network Gate 低于 9.2.2420 高于 7.0.1370
• Amzetta zPortal Windows zClient
• Amzetta zPortal DVM 工具
• FlexiHub 低于 5.2.14094（最新）高于 3.3.11481
• Donglify 低于1.7.14110（最新）高于1.0.12309

需要注意的是，SentinelOne研究人員并未研究所有可能包含易受攻擊的Eltima SDK產品，因此可能會有其他更多產品受到這組漏洞的影響。

此外，根據代碼共享策略，某些服務在客戶端容易受到攻擊，某些服務在服務器端容易受到攻擊，還有一些在兩者上都存在漏洞。

漏洞緩解措施

SentinelOne研究人員表示目前還未看到攻擊者利用這些漏洞的證據，但出于謹慎考慮，企業管理員應該在應用安全更新之前撤銷特權憑據，并且應該仔細檢查日志以尋找可疑活動的跡象。

大多數供應商已經修補了這些漏洞，并通過自動更新來推動它們。但是，有些需要最終用戶操作才能應用安全更新，例如將客戶端應用程序升級到最新的可用版本。

以下是不同供應商發布的修復程序列表：

• 亞馬遜 – 于 2021 年 6 月 25 日向所有地區發布了修復程序
• Eltima – 2021 年 9 月 6 日發布的修復程序
• Accops – 于 2021 年 9 月 5 日發布了修復程序，并通知客戶進行升級。此外，2021 年 12 月 4 日發布了用于檢測易受攻擊端點的實用程序
• Mechdyne - 尚未對研究人員做出回應
• Amzetta – 2021 年 9 月 3 日發布了修復程序
• NoMachine – 2021 年 10 月 21 日發布了修復程序