In NinjaOne abbiamo sempre considerato la sicurezza come una responsabilità fondamentale, non solo nei confronti dei nostri partner, ma anche della comunità tecnologica in generale. Accogliamo con favore ed apprezziamo le opportunità di collaborazione nell’ambito della sicurezza e al momento siamo in grado di condividere i dettagli di uno di questi sforzi che coinvolge NinjaOne, EXEMSI e la società di sicurezza Improsec A/S.
Il 25 gennaio 2021 ho ricevuto informazioni dal ricercatore di Improsec Martin Sohn Christensen su una scoperta fatta il 13 gennaio 2021. Ha spiegato che, mentre lavorava per conto di un cliente di NinjaOne, aveva identificato una vulnerabilità locale di escalation dei privilegi all’interno dell’installer dell’agente NinjaOne (CVE-2021-26273). Successivamente, il 23 gennaio, ha effettuato un rilevamento correlato che riguardava l’insufficienza dei permessi della directory di configurazione per una directory temporanea creata durante l’installazione dell’agente NinjaOne (CVE-2021-26274).
Abbiamo immediatamente indagato e, una volta verificate, abbiamo iniziato a lavorare per rimediare a entrambe le vulnerabilità. Abbiamo rapidamente identificato che la fonte della vulnerabilità di escalation dei privilegi risiedeva nell’uso dell’utility di terze parti EXEMSI MSI Wrapper. Grazie a queste conoscenze, il nostro team è stato in grado di sviluppare un hotfix per NinjaOne Agent per i nostri partner (versione 5.0.4.0) in grado di bloccare il possibile sfruttamento di entrambe le vulnerabilità e di distribuirlo a tutti i partner il 28 gennaio 2021.
Allo stesso tempo, abbiamo contattato anche EXEMSI per discutere dell’impatto più ampio sulla loro base di clienti e abbiamo collaborato con il team di EXEMSI per aiutarli a indagare e a risolvere il problema da parte loro.
Il 21 febbraio EXEMSI ha rilasciato ufficialmente la versione 10.0.50, che ha ridotto la vulnerabilità per il resto della sua base di clienti implementando:
- permessi restrittivi sulle directory temporanee utilizzate durante il processo di installazione
- convalida del checksum per tutte le chiavi che risiedono nelle directory temporanee dell’installer
- algoritmi di hashing più potenti e numeri casuali seed
Christensen, EXEMSI e il team NinjaOne hanno deciso di coordinare gli sforzi e le informazioni per consentire l’implementazione dell’aggiornamento e la potenziale risoluzione dei problemi in tutta la vasta base di utenti di EXEMSI Wrapper. Il tempo concordato è ora passato.
Per concludere, possiamo riferire che non ci sono sfruttamenti noti di queste vulnerabilità in natura.
Siamo grati al signor Christensen/Improsec A/S per averci comunicato la sua scoperta e siamo estremamente soddisfatti della collaborazione e degli sforzi compiuti con lui e con il CEO di EXEMSI Jacob Rasmussen e il suo team.Il raggiungimento della sicurezza è un obiettivo in continua evoluzione e spesso uno sforzo di collaborazione. I miglioramenti apportati a ciascuno di noi vanno a beneficio di tutti, collettivamente, e questo è un ottimo esempio di come siamo più forti quando lavoriamo insieme.
Inoltre, dopo aver appreso che il signor Christensen aveva inizialmente contattato il nostro team di vendita il 18 gennaio, abbiamo apportato miglioramenti ai nostri processi interni e alle nostre comunicazioni al fine di garantire un passaggio più rapido e il reindirizzamento al nostro team per la privacy (raggiungibile a [email protected]). Non considereremo mai i nostri sforzi per la sicurezza completamente terminati e apprezzeremo e coglieremo sempre ogni opportunità di miglioramento.
Per confermare, i ricercatori possono anche utilizzare lo standard security.txt per segnalare eventuali scoperte sulla sicurezza: