Zoho ManageEngine Desktop Central の深刻な脆弱性 CVE-2021-44757 が FIX

Zoho fixes a critical vulnerability (CVE-2021-44757) in Desktop Central solutions

2022/01/17 SecurityAffairs — Zoho は、同社の Unified Endpoint Management (UEM) ソリューションである 、Desktop Central および Desktop Central MSP に影響をおよぼす、新規の深刻な脆弱性 CVE-2021-44757 を修正した。この問題は、認証バイパスの脆弱性であり、それを悪用するリモートの攻撃者に対して、サーバー内での不正な操作を許す可能性がある。この Zoho ManageEngine Desktop Central は、企業におけるサーバー/ラップトップ/デスクトップ/スマートフォン/タブレットの一元的な管理に役立つ製品である。

ZohoのManageEngine チームが公開したアドバイザリによると、「認証バイパスの脆弱性により、リモートユーザーに対してサーバー内での不正な操作を許してしまう。この脆弱性の悪用に成功した攻撃者は、サーバー上のデータの不正な読み取りや、任意の ZIP ファイルの書き込みなどを行う可能性がある」と述べている。

同社では、Desktop Central および Desktop Central MSP のセキュリティ強化ガイドラインに沿った、安全なインストールを推奨している。

2021年12月に FBI は、Zoho の ManageEngine Desktop Central に存在する、別の深刻なゼロデイ脆弱性 CVE-2021-44515 が 10月以降において、国家に支援される機関により活発に悪用されていることを明らかにした。この脆弱性 CVE-2021-44515 は、ManageEngine Desktop Central ソフトウェアに存在する認証バイパスの脆弱性である。したがって、認証バイパスに成功した攻撃者が、Desktop Central サーバー上で任意のコードを実行する可能性が生じる。

この CVE-2021-44757 ですが、キュレーション・チームに聞いたところ、1月19日にレポートを挙げているとのことでした。なお、文中でも指摘されている CVE-2021-44515 に関しては、2021年12月の「Zoho 警告:ManageEngine の認証バイパスの脆弱性に早急にパッチを」を、そして CVE-2021-40539 に関しては、11月の「CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害」をご参照ください。

%d bloggers like this: