聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Zoho 修复了一个新的严重漏洞(CVE-2021-44757),它影响 Zoho Desktop Central 和 Desktop Central MSP 统一终端管理 (UEM) 解决方案。
ManageEngine Desktop Central 是一个端点管理平台,可使管理员在网络上部署补丁和软件并远程解决问题。Zoho 在最新发布的 Desktop Central 和 Desktop Central MSP 版本(build Build: 10.1.2137.9)中发布了缓解措施。
Zoho ManageEngine 团队在通知中解释称,“该认证绕过漏洞可导致远程用户在服务器中执行越权操作。如遭利用,可允许攻击者读取越权数据或在服务器上写任意zip 文件。” Zoho 还建议客户应用 Desktop Central 和 Desktop Central MSP 安全加固指南。
Shodan 搜索结果显示,如不打补丁,则互联网上有超过2800个 ManageEngine Desktop Central 实例易遭攻击。
曾修复的其它严重漏洞
2021年12月初,Zoho 修复了另外一个严重漏洞(CVE-2021-44515),它可导致攻击者绕过认证并在未修复 ManageEngine Desktop Central 服务器上执行任意代码。Zoho 当时还提醒称,已发现在野利用证据,督促客户尽快应用更新。12月末,FBI 网络部门提醒称至少从2021年10月末开始,就有多个APT 组织利用 CVE-2021-44515 缺陷。
这并非 Zoho ManageEngine 服务器首次遭攻击。尤其是 Desktop Central 实例至少在2020年7月就被黑且受陷网络的访问权限在黑客论坛上出售。
在2021年8月至10月,某些国家黑客攻击 Zoho ManageEngine 产品。为此,CISA 和FBI 联合发布安全公告称国家黑客组织利用 ManageEngine 漏洞在关键基础设施组织机构如医疗、金融服务、电子和IT咨询行业网络上释放 web shell。
推荐阅读
Zoho:尽快修复已遭利用的 ManageEngine 严重漏洞
速修复!CISA警告称 Zoho 服务器0day已遭在野利用
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
原文链接
https://www.bleepingcomputer.com/news/security/zoho-plugs-another-critical-security-hole-in-desktop-central/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~