据消息,Zoho ManageEngine Desktop Central和Desktop Central MSP平台存在的一个严重的安全漏洞可能会允许攻击者绕过平台的身份认证。
根据该公司周一发布的安全公告,该漏洞(CVE-2021-44757)可能会允许远程用户在服务器中执行未经授权的操作。如果该漏洞被利用,那么这个漏洞可能会允许攻击者在服务器上读取未经授权的数据或写入任意的.ZIP文件。
Zoho的ManageEngine Desktop Central是一个统一的端点管理(UEM)解决方案,可以让IT管理员在一个平台管理服务器、笔记本电脑、台式机、智能手机和平板电脑等设备。根据该公司的文件,用户可以自动进行安装补丁、部署软件和部署操作系统等常规工作。它还可以用来管理资产和软件许可证,监控软件的统计数据,管理USB设备的使用,控制远程桌面等。
在移动设备方面,用户可以部署配置文件和相关策略,为Wi-Fi、VPN、电子邮件账户等配置设备。对应用程序安装、相机使用和浏览器进行限制,用密码和远程锁定以及擦除功能来管理设备的安全。
因此,该平台提供了对组织内设备的访问权限,在攻击者利用该漏洞的情况下,可能会导致严重的信息泄露事件。此外,由于该漏洞允许安装.ZIP文件,所以这也就为攻击者在Desktop Central实例管理的所有端点上安装恶意软件提供了可能。
就MSP版本而言,它允许管理服务提供商(MSP)向他们自己的客户提供端点管理,同时该漏洞可用于供应链攻击。网络犯罪分子可以很轻松地破坏一个MSP的Desktop Central MSP版软件,并很有可能获得对使用该版本管理软件的客户的访问权限。
Zoho ManageEngine公司周一发布了一个产品条目,详细说明了该漏洞对应补丁的情况,鼓励用户更新到最新版本来保护自己的数据安全。该公司还在产品文章中对Desktop Central环境的一般加固提供了思路。
Zoho ManageEngine: 受到0 day攻击的青睐
该公司并没有说该漏洞是否已经作为0 day漏洞受到了犯罪分子的攻击。但可以肯定的是,如果网络攻击者还没有开始针对该漏洞进行利用的话,鉴于ManageEngine平台的全能性,它一定会是一个很受攻击者青睐的平台。
例如,在9月份,安全专家对Zoho ManageEngine ADSelfService Plus平台的一个严重的安全漏洞(CVE-2021-40539)打上了补丁,它可以让远程攻击者绕过认证,在用户的活动目录(AD)和云账户上进行操作。但根据网络安全和基础设施安全局(CISA)的说法,在修复之前,它就已经受到了大量的网络攻击。
12月,在发现Zoho ManageEngine0 day漏洞受到高级持续性威胁(APT)组织的主动攻击后,联邦调查局甚至还发出了官方警报。该漏洞(CVE-2021-44515)可以让远程攻击者运行ManageEngine Desktop Central的服务器的功能,并且进行权限提升操作。其最终目的是将恶意软件投放到组织的网络中。
本文翻译自:https://threatpost.com/critical-manageengine-desktop-server-bug-malware/177705/如若转载,请注明原文地址。
