Zoho 修复Desktop Central 中的又一个严重漏洞

最新推荐文章于 2024-06-30 14:48:29 发布
最新推荐文章于 2024-06-30 14:48:29 发布
阅读量443 收藏
点赞数
文章标签: 网络 安全 java linux 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510205&idx=2&sn=fbb87a877e97e34fb152bc81962d6de5&chksm=ea9499d7dde310c1fb599ae9bb9de17c808e9fd50a2a19f536a14bc1c30977d4228d22f050be&scene=126&&sessionid=0
版权

39ce18c86d3cac9dc247f054ae2debfd.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Zoho 修复了一个新的严重漏洞(CVE-2021-44757),它影响 Zoho Desktop Central 和 Desktop Central MSP 统一终端管理 (UEM) 解决方案。

ManageEngine Desktop Central 是一个端点管理平台,可使管理员在网络上部署补丁和软件并远程解决问题。Zoho 在最新发布的 Desktop Central 和 Desktop Central MSP 版本(build Build: 10.1.2137.9)中发布了缓解措施。

Zoho ManageEngine 团队在通知中解释称,“该认证绕过漏洞可导致远程用户在服务器中执行越权操作。如遭利用,可允许攻击者读取越权数据或在服务器上写任意zip 文件。” Zoho 还建议客户应用 Desktop Central 和 Desktop Central MSP 安全加固指南。

Shodan 搜索结果显示,如不打补丁,则互联网上有超过2800个 ManageEngine Desktop Central 实例易遭攻击。

48b02c1b902e95a28eb469c872ba407a.png

曾修复的其它严重漏洞

13e1119edbea700d605fdee0b1033dd7.png

2021年12月初,Zoho 修复了另外一个严重漏洞(CVE-2021-44515),它可导致攻击者绕过认证并在未修复 ManageEngine Desktop Central 服务器上执行任意代码。Zoho 当时还提醒称,已发现在野利用证据,督促客户尽快应用更新。12月末,FBI 网络部门提醒称至少从2021年10月末开始,就有多个APT 组织利用 CVE-2021-44515 缺陷。

这并非 Zoho ManageEngine 服务器首次遭攻击。尤其是 Desktop Central 实例至少在2020年7月就被黑且受陷网络的访问权限在黑客论坛上出售。

在2021年8月至10月,某些国家黑客攻击 Zoho ManageEngine 产品。为此,CISA 和FBI 联合发布安全公告称国家黑客组织利用 ManageEngine 漏洞在关键基础设施组织机构如医疗、金融服务、电子和IT咨询行业网络上释放 web shell。

推荐阅读

Zoho:尽快修复已遭利用的 ManageEngine 严重漏洞

速修复!CISA警告称 Zoho 服务器0day已遭在野利用

FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)

研究员拒绝提前通知,Zoho 匆忙修复一个严重的 0day

原文链接

https://www.bleepingcomputer.com/news/security/zoho-plugs-another-critical-security-hole-in-desktop-central/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

754f3e3c832c19f4a52e9ed5719bf843.png

05702665d3c53aa416ba30b822933a33.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   d90c85137bdb463d1bfa67343f7c41fd.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
smellycat000的专栏
12-17 695
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
Desktop Central —— Windows 管理工具
weixin_42434696的博客
11-09 4106
Desktop Central —— Windows 管理工具     定期维护对于保持系统性能平稳必不可少。诸如磁盘检查、磁盘碎片整理程序之类的工具在系统维护至关重要。因为管理员很难定期手动执行维护。         Desktop Central 支持安排这些任务定期在多台计算机上同时执行。其允许创建多个任务,按不同的间隔在不同的目标计算机上执行各种操作。同时,这些任务还可以在下班时间完成。...
linux图形界面漏洞,ManageEngine DesktopCentral任意文件上传漏洞(CVE-2014-5007)
weixin_33230532的博客
05-08 444
发布日期:2014-08-31更新日期:2014-09-03受影响系统:ManageEngine DesktopCentral 8 - 9 build 90054描述:--------------------------------------------------------------------------------BUGTRAQ ID: 69491CVE(CAN) ID: CVE-2...
Zoho:尽快修复已遭利用的 ManageEngine 严重漏洞
smellycat000的专栏
12-06 761
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士商业软件提供商 Zoho 督促客户尽快将 Desktop CentralDesktop Central MSP 更新至最新版本。Z...
CISA提醒修复Zoho ManageEngine RCE漏洞
smellycat000的专栏
09-27 331
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要本周四,美国网络安全和基础设施安全局 (CISA) 提醒称,网络攻击活动正在利用最近修复一个Zoho ManageEngine 漏洞 (CVE-2022-35405)。Zoho 公司在2014年收购企业IT软件ManageEngine,后者未身份和访问、端点、企业服务、安全信息和实践以及IT运营提供管理能力。CVE-2022-35405的C...
zoho:Zarho Laravel软件包
05-27
获得一个。 PHP> = 7.2 Laravel> = 6. * 安装 通过composer require命令将Zoho CRM添加到您的composer文件: $ composer require asciisd/zoho 或手动将其添加到composer.json : " require " : { " asciisd...
Zoho-Integration-:一个简单的golang实施方案,将您的api与zoho Leads仪表板集成在一起,以便您在平台上生成的销售线索可以在zoho上融合
04-17
Zoho 是一款强大的企业管理软件套件,其 Zoho Leads 是一个客户关系管理(CRM)工具,主要用于收集和管理销售线索。在现代业务环境,数据集成是关键,特别是当您的平台自动生成销售线索时,将这些数据同步到 ...
Zoho CRM 小企业实施指南.pdf
04-29
### Zoho CRM小企业实施指南 #### 一、引言 随着信息技术的发展,客户关系管理系统(CRM)已成为企业管理客户数据、优化销售流程、提高服务质量的重要工具。对于小企业而言,选择合适的CRM系统并正确实施,...
zoho
03-17
zoho_wines 葡萄酒的应用。... 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门: 要获得Flutter入门方面的帮助,请查看我们的,其提供了教程,示例,有关移动开发的指南以及完整的API参考。
DzzOffice zoho
最新发布
08-03
调用在线zoho编辑office文档 DzzOffice 安装和升级插件说明(详细教程请在DzzOffice 笔记查看): 下载并解压插件后,请将解压后的插件文件夹以"zoho"命名的方式放置在网站的"dzz"目录下(若该目录下已存在同名...
ManageEngine Desktop Central 10 License
07-17
ManageEngine Desktop Central 10 License 实测可用。
Dell Kace与ManageEngine Desktop Central对比
08-28
Dell Kace与ManageEngine Desktop Central对比
ManageEngine Desktop Central 5.0
11-08
ManageEngine Desktop Central License
Desktop Central帮助您升级Windows 10,获取更新的五大增强功能
10-11 185
转载于:https://my.oschina.net/u/3942209/blog/2243611
activex control test container 服务器正在运行_Desktop Central服务器RCE漏洞在野攻击分析...
weixin_42306480的博客
12-26 262
0x01 漏洞披露在研究Desktop Central漏洞的过程,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞Zoho ManageEngine Desktop Central 10允许远程执行代码,漏洞成因是FileStorage类的getChartImage的不可信数据反序列化,此漏洞和CewolfServ...
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
smellycat000的专栏
12-15 631
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
精品软件推荐 Desktop Central - Free Windows Admin Tools
weixin_33759269的博客
10-12 615
推荐一个免费的企业IT管理软件: Desktop Central - Free Windows Admin Tools官网: https://www.manageengine.com 功能:所有电脑软件管理,远程关机,进程管理,用户管理等。官方介绍:Desktop Central provides a set of free Windows Admin tools that Windows Adm...
完美破解版Parallels Desktop 19永久激活使用附完整安装教程
yanzhixue2023的博客
06-30 6614
Parallels Desktop 19 完美破解版是一款强大的虚拟机软件,可以在 Mac 计算机上运行多个操作系统,如 Windows、Linux 和其他版本的 macOS。它提供了许多功能和优势,适用于各种领域和用途。Parallels Desktop 19破解版链接:提取码: 0tbt2、下载完成后,打开【Parallels_Desktop for mac】直接双击【安装】,3、如果有提示更新,点击左上角的关闭(破解版本不能更新安装!否则破解失效!4、点击“不,使用现有的”,没有就无视这一步。
适用于 iOS、Android 和 Windows 设备的移动设备管理
weixin_33896069的博客
11-01 277
适用于 iOS、Android 和 Windows 设备的移动设备管理 随着企业环境移动设备的数量不断增加,详细检查访问您企业资源的移动设备变得至关重要。统一终端管理软件 Desktop Central 可帮助您从一个心位置配置和保护您的移动设备,其专为简化桌面和移动设备管理而生。 我们还提供了 Mobile Device Manager Plus,独立的企业移动设备管理解决方案,可以在本地以...
使用Python写一个zoho crm 刷新令牌
05-10
首先,需要安装 `requests` 和 `json` 库: ``` pip install requests ``` 接下来,可以使用以下代码来刷新 Zoho CRM 的访问令牌: ```python import requests import json # 定义API请求地址和参数 url = "https://accounts.zoho.com/oauth/v2/token" payload = { "grant_type": "refresh_token", "client_id": "YOUR_CLIENT_ID", "client_secret": "YOUR_CLIENT_SECRET", "refresh_token": "YOUR_REFRESH_TOKEN" } # 发送POST请求 headers = { "Content-Type": "application/x-www-form-urlencoded", "Accept": "application/json" } response = requests.post(url, data=payload, headers=headers) # 获取响应并打印输出 json_response = json.loads(response.text) print(json_response) ``` 其,需要将 `YOUR_CLIENT_ID`、`YOUR_CLIENT_SECRET` 和 `YOUR_REFRESH_TOKEN` 替换为自己的 Zoho CRM 应用程序的客户端ID、客户端密钥和刷新令牌。 上述代码将发送一个 POST 请求到 Zoho CRM 的 API 地址,并使用提供的参数刷新访问令牌。然后,将响应转换为 JSON 格式并打印输出。 如果一切顺利,你将获得一个包含新的访问令牌和其它相关信息的 JSON 响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值