Эксперт PT SWARM Егор Филатов выявил и помог устранить уязвимости в сервисах компании IDrive — одноимённом облачном резервном копировании и приложении для удалённого доступа RemotePC.
Дефекты безопасности могли позволить злоумышленнику повысить привилегии до уровня суперпользователя (root) на macOS и получить полный контроль над устройством, что создавало риск компрометации данных и распространения атаки в корпоративной сети.
IDrive: уязвимость PT-2025-37715 (BDU:2025-08844), версия 4.0.0.38, CVSS 7/10.
RemotePC: уязвимость PT-2025-34884 (BDU:2025-08845), версия 7.7.38, CVSS 7/10.
Для устранения угроз пользователям рекомендуется обновить IDrive до версии 4.0.0.43 и RemotePC до версии 7.7.38. В случае невозможности обновления рекомендуется ограничить права на редактирование привилегированных файлов приложений.
Примеры путей к привилегированным файлам:
IDrive:
/Library/Application Support/IDriveforMac/IDriveHelperTools/bin/newbin/IDriveDaemonHelper
/Library/Application Support/IDriveforMac/IDriveHelperTools/IDriveDaemon.app/Contents/MacOS/IDriveDaemon
/Library/Application Support/IDriveforMac/IDriveHelperTools/IDSyncDaemon.app/Contents/MacOS/IDSyncDaemon
RemotePC:
/Library/Application Support/RPCForMac/RemoteDPCSService
/Library/Application Support/RPCForMac/RemotePCHelper
По словам Филатова, эксплуатация уязвимостей позволяла бы заменять файлы приложений на собственное ПО и получать полный контроль над системой после перезапуска.
Для снижения риска атак на конечных устройствах рекомендуется использовать решения класса EDR, например MaxPatrol EDR, совместно с MaxPatrol SIEM для детектирования вредоносной активности.
Актуальные сведения об уязвимостях доступны на портале dbugs, где публикуются рекомендации вендоров по их устранению.
