漏洞名称:ZOHO ManageEngine Desktop Central 身份验证绕过漏洞
组件名称:ZOHO ManageEngine Desktop Central
影响范围:
ManageEngine Desktop Central < 10.1.2137.9
ManageEngine Desktop Central MSP < 10.1.2137.9
漏洞类型:身份验证绕过
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:严重,能造成身份验证绕过。
漏洞分析
1 组件介绍
ZOHO ManageEngine Desktop Central(DC)是美国卓豪(ZOHO)公司的一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块,可对桌面机以及服务器管理的整个生命周期提供支持。
2 漏洞描述
2022年1月17日,深信服安全团队监测到一则 ManageEngine Desktop Central 和ManageEngine Desktop Central MSP 组件存在身份验证绕过漏洞的信息,漏洞编号:CVE-2021-44757,漏洞威胁等级:严重。
攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份验证绕过攻击,最终造成服务器敏感性信息泄露等。
影响范围
可能受漏洞影响的 ManageEngine Desktop Central 资产广泛分布于世界各地,主要分布在印度、美国、中国等国家。
目前受影响的 ManageEngine Desktop Central 版本:
ManageEngine Desktop Central<10.1.2137.9
ManageEngine Desktop Central MSP<10.1.2137.9
解决方案
1 如何检测是否使用该组件
Web 服务中出现如下页面时即使用该组件。
2 官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
ManageEngine Desktop Central:
https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
ManageEngine Desktop Central MSP:
https://www.manageengine.com/desktop-management-msp/cve-2021-44757.html
参考链接
时间轴
2022/1/17 深信服监测到ZOHO ManageEngine Desktop Central官方发布安全补丁。
2022/1/19 深信服千里目安全实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】ZOHO ManageEngine Desktop Central身份验证绕过漏洞CVE-2021-44757
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论