Срочно. Популярное ПО для удалённого обучения Netop имеет катастрофические недостатки

Популярное ПО для удалённого обучения Netop имеет катастрофические недостатки. Фото: Pixabay

«Уязвимости позволяют повысить привилегии и в конечном итоге  запустить удалённое выполнение кода, который может быть использован злоумышленником в той же сети для получения полного контроля над компьютерами учащихся», — говорится в анализе группы McAfee Labs Advanced Threat Research.

Об уязвимостях, отслеживаемых как CVE-2021-27192, CVE-2021-27193, CVE-2021-27194 и CVE-2021-27195, было сообщено Netop 11 декабря 2020 года, после чего датская компания исправила проблемы в обновлении (версия 9.7.2), выпущенном 25 февраля.

«Версия 9.7.2 Vision and Vision Pro - это отладочный выпуск, который устраняет несколько уязвимостей, таких как повышение локальных привилегий, отправляющих конфиденциальную информацию в виде простого текста», — заявили представители компании в примечаниях к выпуску.

Netop насчитывает половину компаний из списка Fortune 100 среди своих клиентов и связывает более 3 млн учителей и студентов с помощью своего программного обеспечения. Netop Vision Pro позволяет учителям удалённо выполнять мониторинг и управление экранами в реальном времени на компьютерах учеников, ограничивать доступ к списку веб-сайтов, запускать приложения и многое другое. и даже перенаправление внимания учеников, когда они отвлекаются.

В ходе расследования McAfee было обнаружено несколько недостатков. В их числе:

CVE-2021-27194 - Весь сетевой трафик между учителем и учеником отправляется в незашифрованном виде и в виде открытого текста (например, учетные данные Windows и снимки экрана) без возможности включения этого во время установки. Кроме того, снимки экрана отправляются учителю, как только он подключается к классу, чтобы обеспечить мониторинг в реальном времени.

CVE-2021-27195 - злоумышленник может отслеживать незашифрованный трафик, выдавая себя за учителя и выполняя код атаки на компьютерах учеников, изменяя пакет, который содержит точное приложение, которое должно быть выполнено, например вводя дополнительные сценарии PowerShell.

CVE-2021-27192 - кнопку «Техническая поддержка» в меню Netop «О программе» можно использовать для повышения привилегий в качестве «системного» пользователя и выполнения произвольных команд, перезапуска Netop и выключения компьютера.

CVE-2021-27193 - Недостаток привилегий в плагине чата Netop может быть использован для чтения и записи произвольных файлов в «рабочем каталоге», который используется в качестве места перетаскивания для всех файлов, отправленных инструктором. Хуже того, расположение этого каталога можно изменить удалённо, чтобы перезаписать любой файл на удалённом ПК, включая системные исполняемые файлы.

CVE-2021-27193 также имеет рейтинг 9,5 из максимум 10 в рейтинговой системе CVSS, что делает его критической уязвимостью.

Последствия эксплуатации версии с уязвимостями могут быть разрушительными. В McAfee предупреждают, что они варьируются от развёртывания программ-вымогателей до установки программного обеспечения для клавиатурных шпионов и связывания CVE-2021-27195 и CVE-2021-27193, чтобы следить за веб-камерами отдельных компьютеров, на которых установлено программное обеспечение.

Хотя большинство уязвимостей было исправлено, исправления, внесённые Netop, по-прежнему не решают проблему отсутствия сетевого шифрования, которое, как ожидается, будет реализовано в будущем обновлении.

«Злоумышленнику не нужно взламывать школьную сеть; все, что ему нужно, — это найти любую сеть, в которой доступно это программное обеспечение, например, библиотеку, кафе или домашнюю сеть», — говорят исследователи Сэм Куинн и Дуглас Макки.— «Неважно, где будет взломан один из компьютеров этих студентов, так как хорошо спроектированная вредоносная программа может бездействовать и сканировать каждую сеть, к которой подключается заражённый компьютер, пока не найдёт другие уязвимые экземпляры Netop Vision Pro для дальнейшего распространения инфекции».

«После того, как эти машины были скомпрометированы, удалённый злоумышленник получает полный контроль над системой, поскольку они наследуют системные привилегии. Ничто на этом этапе не могло помешать злоумышленнику, работающему как« система », получить доступ к любым файлам, завершить любой процесс или нанести ущерб на скомпрометированной машине», — добавили они.