Zoho 修复Desktop Central 中的又一个严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Zoho 修复了一个新的严重漏洞(CVE-2021-44757),它影响 Zoho Desktop Central 和 Desktop Central MSP 统一终端管理 (UEM) 解决方案。
ManageEngine Desktop Central 是一个端点管理平台,可使管理员在网络上部署补丁和软件并远程解决问题。Zoho 在最新发布的 Desktop Central 和 Desktop Central MSP 版本(build Build: 10.1.2137.9)中发布了缓解措施。
Zoho ManageEngine 团队在通知中解释称,“该认证绕过漏洞可导致远程用户在服务器中执行越权操作。如遭利用,可允许攻击者读取越权数据或在服务器上写任意zip 文件。” Zoho 还建议客户应用 Desktop Central 和 Desktop Central MSP 安全加固指南。
Shodan 搜索结果显示,如不打补丁,则互联网上有超过2800个 ManageEngine Desktop Central 实例易遭攻击。
曾修复的其它严重漏洞
2021年12月初,Zoho 修复了另外一个严重漏洞(CVE-2021-44515),它可导致攻击者绕过认证并在未修复 ManageEngine Desktop Central 服务器上执行任意代码。Zoho 当时还提醒称,已发现在野利用证据,督促客户尽快应用更新。12月末,FBI 网络部门提醒称至少从2021年10月末开始,就有多个APT 组织利用 CVE-2021-44515 缺陷。
这并非 Zoho ManageEngine 服务器首次遭攻击。尤其是 Desktop Central 实例至少在2020年7月就被黑且受陷网络的访问权限在黑客论坛上出售。
在2021年8月至10月,某些国家黑客攻击 Zoho ManageEngine 产品。为此,CISA 和FBI 联合发布安全公告称国家黑客组织利用 ManageEngine 漏洞在关键基础设施组织机构如医疗、金融服务、电子和IT咨询行业网络上释放 web shell。
推荐阅读
Zoho:尽快修复已遭利用的 ManageEngine 严重漏洞
速修复!CISA警告称 Zoho 服务器0day已遭在野利用
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
研究员拒绝提前通知,Zoho 匆忙修复一个严重的 0day
原文链接
https://www.bleepingcomputer.com/news/security/zoho-plugs-another-critical-security-hole-in-desktop-central/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Zoho 修复Desktop Central 中的又一个严重漏洞相关推荐
- 工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞.该软件用于全 ...
- 谷歌浏览器32位安装包_谷歌浏览器发布紧急安全更新修复Blink内核中的任意代码执行漏洞...
上月底谷歌浏览器推送紧急安全更新对浏览器漏洞进行修复,当时谷歌浏览器博客并未公布漏洞的具体细节信息. 蓝点网当时也在文章中称通常这种不公布漏洞的更新,都是比较严重的问题因此只有等多数用户修复后才会公开 ...
- 思科不打算修复SMB路由器中严重的认证绕过漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以roo ...
- linux系统漏洞修复2019,Linux中 OpenSSH 输入验证错误漏洞(CVE-2019-16905) 修复解决方案...
解决方案: redhat6.7与centos6.7版本升级到openssh8.1版本与openssl-1.1.1自动化脚本,解决linuxOpenSSH输入验证错误漏洞(CVE-2019-16905) ...
- 利用 CocoaPods 服务器中的一个 RCE 漏洞,投毒数百万款app
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- Juniper Networks 修复开源操作系统 Junos OS 等中的多个严重漏洞
消息 聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周,Juniper 通知客户称已修复产品中的多个漏洞,多数可被用于发动拒绝服务 (DoS) 攻击. 该公司发布十几个安全公告,说 ...
- linux 桌面配置,Linux配置 | 配置Linux桌面 - ManageEngine Desktop Central
Linux配置 终端管理和安全软件Desktop Central提供各种Linux配置,以方便管理需求.使用Desktop Central可以很容易地执行修补和部署软件等任务.Desktop Cent ...
- 服务器中电池可以维修吗,电池修复到底有没有效果?一个维修工的遭遇揭开真相!...
原标题:电池修复到底有没有效果?一个维修工的遭遇揭开真相! 我是一名电动车维修技师,开了一家电动车维修店,从事电动车维修已经八年,三年前在一次电视广告上看到一家电池修复设备厂家广告吹的神乎其神,就给厂 ...
- Desktop Central如何简化IT资产管理(ITAM)?
IT资产管理对任何企业来说都是一项艰巨的任务,但通过适当的工具,这项任务可以被简化;例如,IT资产管理软件可以简化软件和硬件的管理. 什么是IT资产管理? IT资产管理(ITAM)是一组业务实践,它将 ...
最新文章
- [UGUI]圆形Image
- 区块链BaaS云服务(2)亚马逊 Amazon Managed Blockchain
- Dynamic AX ERP 4.0 数据导出(上)
- VTK:IO之ReadExodusData
- Redis集群~StackExchange.redis连接Sentinel服务器并订阅相关事件
- C++:37---继承概念、继承种类
- 华夏常春藤_我如何在没有常春藤大学学位的情况下从微软,亚马逊和Twitter获取报价
- Unity 接入安卓 支付宝支付SDK遇到ALI38173问题
- xmapp mysql打不开_XAMPP 的MYSQL无法启动
- 跟着开源项目学因果推断——whynot(十四)
- 复杂网络学习的一些常用数据集
- javascript 正则表达式学习
- 我同学的易宝支付面试经历
- 手机号码正则_中国大陆手机号码的正则表达式总结ChinaMobilePhoneNumberRegex
- 为什么一线互联网公司的校招高薪都是算法类,工程岗校招不配拥有高薪吗?
- 文献阅读笔记怎么写?
- 工业物联网案例:注塑机PLC联网监控解决方案
- <视觉SLAM十四讲> 李群与李代数
- bzoj 1022: [SHOI2008]小约翰的游戏John
- 报错:Cannot resolve org.openjfx:javafx.base:11.0.0-SNAPSHOT