L’hotfix di gennaio di NinjaOne e l’aggiornamento EXEMSI di febbraio per risolvere i problemi CVE-2021-26273 e CVE-2021-26274

In NinjaOne abbiamo sempre considerato la sicurezza come una responsabilità fondamentale, non solo nei confronti dei nostri partner, ma anche della comunità tecnologica in generale. Accogliamo con favore ed apprezziamo le opportunità di collaborazione nell’ambito della sicurezza e al momento siamo in grado di condividere i dettagli di uno di questi sforzi che coinvolge NinjaOne, EXEMSI e la società di sicurezza Improsec A/S

Il 25 gennaio 2021 ho ricevuto informazioni dal ricercatore di Improsec Martin Sohn Christensen su una scoperta fatta il 13 gennaio 2021. Ha spiegato che, mentre lavorava per conto di un cliente di NinjaOne, aveva identificato una vulnerabilità locale di escalation dei privilegi all’interno dell’installer dell’agente NinjaOne (CVE-2021-26273). Successivamente, il 23 gennaio, ha effettuato un rilevamento correlato che riguardava l’insufficienza dei permessi della directory di configurazione per una directory temporanea creata durante l’installazione dell’agente NinjaOne (CVE-2021-26274). 

Abbiamo immediatamente indagato e, una volta verificate, abbiamo iniziato a lavorare per rimediare a entrambe le vulnerabilità. Abbiamo rapidamente identificato che la fonte della vulnerabilità di escalation dei privilegi risiedeva nell’uso dell’utility di terze parti EXEMSI MSI Wrapper. Grazie a queste conoscenze, il nostro team è stato in grado di sviluppare un hotfix per NinjaOne Agent per i nostri partner (versione 5.0.4.0) in grado di bloccare il possibile sfruttamento di entrambe le vulnerabilità e di distribuirlo a tutti i partner il 28 gennaio 2021. 

Allo stesso tempo, abbiamo contattato anche EXEMSI per discutere dell’impatto più ampio sulla loro base di clienti e abbiamo collaborato con il team di EXEMSI per aiutarli a indagare e a risolvere il problema da parte loro. 

Il 21 febbraio EXEMSI ha rilasciato ufficialmente la versione 10.0.50, che ha ridotto la vulnerabilità per il resto della sua base di clienti implementando:

  • permessi restrittivi sulle directory temporanee utilizzate durante il processo di installazione
  • convalida del checksum per tutte le chiavi che risiedono nelle directory temporanee dell’installer
  • algoritmi di hashing più potenti e numeri casuali seed

Christensen, EXEMSI e il team NinjaOne hanno deciso di coordinare gli sforzi e le informazioni per consentire l’implementazione dell’aggiornamento e la potenziale risoluzione dei problemi in tutta la vasta base di utenti di EXEMSI Wrapper. Il tempo concordato è ora passato.  

Per concludere, possiamo riferire che non ci sono sfruttamenti noti di queste vulnerabilità in natura.

Siamo grati al signor Christensen/Improsec A/S per averci comunicato la sua scoperta e siamo estremamente soddisfatti della collaborazione e degli sforzi compiuti con lui e con il CEO di EXEMSI Jacob Rasmussen e il suo team.Il raggiungimento della sicurezza è un obiettivo in continua evoluzione e spesso uno sforzo di collaborazione. I miglioramenti apportati a ciascuno di noi vanno a beneficio di tutti, collettivamente, e questo è un ottimo esempio di come siamo più forti quando lavoriamo insieme. 

Inoltre, dopo aver appreso che il signor Christensen aveva inizialmente contattato il nostro team di vendita il 18 gennaio, abbiamo apportato miglioramenti ai nostri processi interni e alle nostre comunicazioni al fine di garantire un passaggio più rapido e il reindirizzamento al nostro team per la privacy (raggiungibile a [email protected]). Non considereremo mai i nostri sforzi per la sicurezza completamente terminati e apprezzeremo e coglieremo sempre ogni opportunità di miglioramento.

Per confermare, i ricercatori possono anche utilizzare lo standard security.txt per segnalare eventuali scoperte sulla sicurezza: 

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Ti potrebbe interessare anche

Pronto a semplificare le parti più complesse dell'IT?
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.