據(jù)消息，Zoho ManageEngine Desktop Central和Desktop Central MSP平臺存在的一個嚴重的安全漏洞可能會允許攻擊者繞過平臺的身份認證。

根據(jù)該公司周一發(fā)布的安全公告，該漏洞(CVE-2021-44757)可能會允許遠程用戶在服務(wù)器中執(zhí)行未經(jīng)授權(quán)的操作。如果該漏洞被利用，那么這個漏洞可能會允許攻擊者在服務(wù)器上讀取未經(jīng)授權(quán)的數(shù)據(jù)或?qū)懭肴我獾?ZIP文件。

Zoho的ManageEngine Desktop Central是一個統(tǒng)一的端點管理(UEM)解決方案，可以讓IT管理員在一個平臺管理服務(wù)器、筆記本電腦、臺式機、智能手機和平板電腦等設(shè)備。根據(jù)該公司的文件，用戶可以自動進行安裝補丁、部署軟件和部署操作系統(tǒng)等常規(guī)工作。它還可以用來管理資產(chǎn)和軟件許可證，監(jiān)控軟件的統(tǒng)計數(shù)據(jù)，管理USB設(shè)備的使用，控制遠程桌面等。

在移動設(shè)備方面，用戶可以部署配置文件和相關(guān)策略，為Wi-Fi、VPN、電子郵件賬戶等配置設(shè)備。對應(yīng)用程序安裝、相機使用和瀏覽器進行限制，用密碼和遠程鎖定以及擦除功能來管理設(shè)備的安全。

因此，該平臺提供了對組織內(nèi)設(shè)備的訪問權(quán)限，在攻擊者利用該漏洞的情況下，可能會導(dǎo)致嚴重的信息泄露事件。此外，由于該漏洞允許安裝.ZIP文件，所以這也就為攻擊者在Desktop Central實例管理的所有端點上安裝惡意軟件提供了可能。

就MSP版本而言，它允許管理服務(wù)提供商(MSP)向他們自己的客戶提供端點管理，同時該漏洞可用于供應(yīng)鏈攻擊。網(wǎng)絡(luò)犯罪分子可以很輕松地破壞一個MSP的Desktop Central MSP版軟件，并很有可能獲得對使用該版本管理軟件的客戶的訪問權(quán)限。

Zoho ManageEngine公司周一發(fā)布了一個產(chǎn)品條目，詳細說明了該漏洞對應(yīng)補丁的情況，鼓勵用戶更新到最新版本來保護自己的數(shù)據(jù)安全。該公司還在產(chǎn)品文章中對Desktop Central環(huán)境的一般加固提供了思路。

Zoho ManageEngine: 受到0 day攻擊的青睞

該公司并沒有說該漏洞是否已經(jīng)作為0 day漏洞受到了犯罪分子的攻擊。但可以肯定的是，如果網(wǎng)絡(luò)攻擊者還沒有開始針對該漏洞進行利用的話，鑒于ManageEngine平臺的全能性，它一定會是一個很受攻擊者青睞的平臺。

例如，在9月份，安全專家對Zoho ManageEngine ADSelfService Plus平臺的一個嚴重的安全漏洞(CVE-2021-40539)打上了補丁，它可以讓遠程攻擊者繞過認證，在用戶的活動目錄(AD)和云賬戶上進行操作。但根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的說法，在修復(fù)之前，它就已經(jīng)受到了大量的網(wǎng)絡(luò)攻擊。

12月，在發(fā)現(xiàn)Zoho ManageEngine0 day漏洞受到高級持續(xù)性威脅(APT)組織的主動攻擊后，聯(lián)邦調(diào)查局甚至還發(fā)出了官方警報。該漏洞(CVE-2021-44515)可以讓遠程攻擊者運行ManageEngine Desktop Central的服務(wù)器的功能，并且進行權(quán)限提升操作。其最終目的是將惡意軟件投放到組織的網(wǎng)絡(luò)中。

本文翻譯自：https://threatpost.com/critical-manageengine-desktop-server-bug-malware/177705/如若轉(zhuǎn)載，請注明原文地址。