Cyberthreat.id - Peneliti cybersecurity dari Sourche Incite menemukan kerentanan zero-day dalam produk Zoho. Zoho adalah perusahaan raksasa AS-India yang fokus kepada pengembangan perangkat lunak (software development). Steven Seeley, peneliti yang dimaksud, menerbitkan rincian keamanan tentang kerentanan melalui akun Twitter-nya pada Kamis (5 Maret 2020).

Produk Zoho yang diungkapkan Seeley adalah ManageEngine Desktop Central  merupakan management tools pada endpoint, digunakan untuk membantu pengguna (administrator) yang mengelola server, laptop, smartphone dari pusat kontrolnya.

Produk ini berfungsi sebagai server pusat di dalam perusahaan. Memungkinkan administrator sistem untuk mendorong pembaruan, mengendalikan sistem dari jarak jauh, mengunci perangkat, menerapkan pembatasan akses, dan banyak lagi.

Rincian kelemahan dari produk ManageEngine dilaporkan Steven bersama dengan kode demo proof-of-concept (PoC) tentang bug yang belum ditambal dalam produk ini.

"Kerentanan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer jarak jauh pada instalasi yang terkena dampak ManageEngine Desktop Central," tulis Seeley di akun Twitter-nya.  

Selain itu, kata Seeley, kerentanan ini membuat penyerang dapat melakukan eksekusi tanpa perlu otentikasi, dan kode tersebut dijalankan dengan hak akses root pada mesin. Ini artinya para hacker jahat dapat mengambil kendali penuh atas sistem ManageEngine berikut armada perangkat perusahaan.

Kelemahan spesifik terdapat di dalam kelas FileStorage dari Desktop Central. Kelas FileStorage digunakan untuk menyimpan data guna membaca data ke atau dari file.

Seeley mengatakan kepada Threatpost, penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode di bawah konteks SYSTEM, memberi mereka "kendali penuh atas mesin target [...] pada dasarnya yang terburuk akan terjadi."

Seeley juga memposting serangan PoC untuk cacat di akun Twitter-nya. Kerentanan, kata dia, berada di peringkat 9,8 dari 10,0 pada skala CVSS, artinya sangat kritis dalam keparahannya.

Sebaliknya Zoho mengatakan di Twitter, “Kami telah mengidentifikasi masalah ini dan sedang mengerjakan perbaikan dengan prioritas utama. Kami akan memperbarui setelah selesai. “

Kerentanan yang dilacak sebagai CVE-2020-10189 telah ditambal oleh Zoho pada ManageEngine Desktop Central v10.0.479.

Pelanggan yang menggunakan Desktop Central build 10.0.474 dan di atasnya juga tidak rentan. Itu menurut Zoho karena perbaikan jangka pendek untuk bug termasuk dalam build 10.0.474 dirilis pada 20 Januari 2020.[]

Redaktur: Arif Rahman