Kompanija Elastic, poznata po enterprise pretragama i sajber bezbjednosti, odbacila je izvještaje o postojanju zero-day ranjivosti koja navodno pogađa njen proizvod za detekciju i odgovor na prijetnje na krajnjim tačkama (EDR) — Elastic Defend.
Saopštenje je uslijedilo nakon blog posta firme AshES Cybersecurity, koja je tvrdila da je otkrila ranjivost za daljinsko izvršavanje koda (RCE) koja omogućava hakerima da zaobiđu zaštitne mehanizme EDR-a.
Tim za bezbjednosno inženjerstvo kompanije Elastic naveo je da je “sproveo detaljnu istragu” ali nije pronašao “dokaze koji bi potvrdili tvrdnje o ranjivosti koja zaobilazi EDR nadzor i omogućava daljinsko izvršavanje koda”.
Tvrdnje o zero-day ranjivosti
Prema izvještaju AshES Cybersecurity od 16. avgusta, flaw tipa NULL pointer dereference u kernel drajveru Elastic Defendera, elastic-endpoint-driver.sys, mogao bi se iskoristiti za zaobilaženje EDR nadzora, izvršavanje koda sa smanjenom vidljivošću i uspostavljanje trajnog prisustva u sistemu.
“Izradio sam prilagođeni drajver kako bih pouzdano aktivirao ranjivost u kontrolisanim uslovima”, naveo je istraživač iz AshES-a.
Kako bi potkrijepili svoje tvrdnje, objavili su dva videa — jedan u kojem Windows pada usljed greške u Elastic drajveru, i drugi u kojem se navodni exploit koristi za pokretanje calc.exe aplikacije bez reakcije Elastic Defend EDR-a.
“Izostanak reakcije EDR-a pokazuje da ovo nije samo problem stabilnosti, već kompletan napadni lanac koji hakeri mogu zloupotrijebiti u realnim okruženjima”, tvrdi istraživač.
Elasticovo odbacivanje tvrdnji
Elastic je nakon evaluacije saopštenja i prijava AshES Cybersecurity saopštio da nije uspio da reprodukuje ranjivost ni njene posljedice.
Kompanija je istakla da izvještaji koje su dobili “nisu sadržali dokaze o ponovljivoj eksploataciji”.
“Naš tim za bezbjednosno inženjerstvo i bug bounty trijažu sproveo je detaljnu analizu pokušavajući da reprodukuje prijave, ali to nije bilo moguće. Istraživači su obavezni da dostave ponovljene dokaze koncepta; međutim, oni su to odbili” – navodi Elastic.
AshES Cybersecurity je potvrdio da je odlučio da ne podijeli PoC sa Elasticom ili njegovim partnerima. Umjesto toga, objavili su detalje javno, mimo principa koordinisanog objavljivanja.
Elastic je naglasio da sve prijave tretira ozbiljno i podsjetio da je od 2017. godine istraživačima kroz bug bounty program isplatio više od 600.000 dolara.
Izvor: BleepingComputer
