Zoho a corrigé une nouvelle vulnérabilité de gravité critique qui affecte les solutions de gestion unifiée des points de terminaison (UEM) Desktop Central et Desktop Central MSP de la société.
ManageEngine Desktop Central est une plate-forme de gestion des terminaux qui permet aux administrateurs de déployer des correctifs et des logiciels sur le réseau et de les dépanner à distance.
Zoho a corrigé la faille de sécurité suivie comme CVE-2021-44757 aujourd’hui et fournit maintenant une atténuation avec la dernière version publiée Bureau Central et Bureau Central MSP versions (build Build : 10.1.2137.9).
« Une vulnérabilité de contournement d’authentification qui peut permettre à un utilisateur distant d’effectuer des actions non autorisées sur le serveur », a déclaré l’équipe ManageEngine de Zoho. expliqué dans une notification publiée aujourd’hui.
« Si elle est exploitée, cette vulnérabilité peut permettre à un attaquant de lire des données non autorisées ou d’écrire un fichier zip arbitraire sur le serveur. »
La société a également conseillé à ses clients de suivre ses directives de renforcement de la sécurité pour Bureau Central et Bureau Central MSP.
Aujourd’hui, une recherche Shodan a révélé plus de 2 800 instances de ManageEngine Desktop Central exposés à des attaques sur Internet s’ils ne sont pas corrigés.
Début décembre, Zoho a corrigé une autre vulnérabilité critique (CVE-2021-44515) qui pourrait permettre aux pirates de contourner l’authentification et d’exécuter du code arbitraire sur les serveurs ManageEngine Desktop Central non corrigés.
Le fournisseur indien de logiciels d’entreprise a également averti à l’époque qu’il avait trouvé des preuves dans l’exploitation sauvage et a exhorté les clients à mettre à jour dès que possible pour bloquer les attaques entrantes.
Fin décembre, la Cyber Division du FBI a confirmé l’alerte d’exploitation en cours de Zoho en avertissant que plusieurs groupes APT exploitent la faille CVE-2021-44515 depuis au moins fin octobre 2021.
Ce n’est pas la première fois que les serveurs Zoho ManageEngine sont récemment la cible d’attaques. Les instances de Desktop Central, en particulier, ont déjà été piratées et l’accès à des réseaux compromis vendus sur des forums de piratage depuis au moins juillet 2020.
Entre août et octobre 2021, des pirates informatiques ont ciblé les produits Zoho ManageEngine en utilisant des outils et des tactiques similaires à ceux observés lors d’attaques coordonnées par le groupe de menaces soutenu par la Chine APT27.
Leurs attaques se sont concentrées sur et ont conduit à la violation de réseaux appartenant à des organisations d’infrastructures critiques dans le monde entier dans trois campagnes différentes utilisant :
Suite à cette série d’attaques, la CISA et le FBI ont émis des avis conjoints (1, 2) avertissant des groupes de piratage soutenus par l’État exploitant les vulnérabilités de ManageEngine pour déposer des shells Web sur les réseaux d’organisations d’infrastructures critiques des secteurs de la santé, des services financiers, de l’électronique et du conseil en informatique.