據消息，Zoho ManageEngine Desktop Central和Desktop Central MSP平臺存在的一個嚴重的安全漏洞可能會允許攻擊者繞過平臺的身份認證。

根據該公司周一發布的安全公告，該漏洞(CVE-2021-44757)可能會允許遠程用戶在服務器中執行未經授權的操作。如果該漏洞被利用，那么這個漏洞可能會允許攻擊者在服務器上讀取未經授權的數據或寫入任意的.ZIP文件。

Zoho的ManageEngine Desktop Central是一個統一的端點管理(UEM)解決方案，可以讓IT管理員在一個平臺管理服務器、筆記本電腦、臺式機、智能手機和平板電腦等設備。根據該公司的文件，用戶可以自動進行安裝補丁、部署軟件和部署操作系統等常規工作。它還可以用來管理資產和軟件許可證，監控軟件的統計數據，管理USB設備的使用，控制遠程桌面等。

在移動設備方面，用戶可以部署配置文件和相關策略，為Wi-Fi、VPN、電子郵件賬戶等配置設備。對應用程序安裝、相機使用和瀏覽器進行限制，用密碼和遠程鎖定以及擦除功能來管理設備的安全。

因此，該平臺提供了對組織內設備的訪問權限，在攻擊者利用該漏洞的情況下，可能會導致嚴重的信息泄露事件。此外，由于該漏洞允許安裝.ZIP文件，所以這也就為攻擊者在Desktop Central實例管理的所有端點上安裝惡意軟件提供了可能。

就MSP版本而言，它允許管理服務提供商(MSP)向他們自己的客戶提供端點管理，同時該漏洞可用于供應鏈攻擊。網絡犯罪分子可以很輕松地破壞一個MSP的Desktop Central MSP版軟件，并很有可能獲得對使用該版本管理軟件的客戶的訪問權限。

Zoho ManageEngine公司周一發布了一個產品條目，詳細說明了該漏洞對應補丁的情況，鼓勵用戶更新到最新版本來保護自己的數據安全。該公司還在產品文章中對Desktop Central環境的一般加固提供了思路。

Zoho ManageEngine: 受到0 day攻擊的青睞

該公司并沒有說該漏洞是否已經作為0 day漏洞受到了犯罪分子的攻擊。但可以肯定的是，如果網絡攻擊者還沒有開始針對該漏洞進行利用的話，鑒于ManageEngine平臺的全能性，它一定會是一個很受攻擊者青睞的平臺。

例如，在9月份，安全專家對Zoho ManageEngine ADSelfService Plus平臺的一個嚴重的安全漏洞(CVE-2021-40539)打上了補丁，它可以讓遠程攻擊者繞過認證，在用戶的活動目錄(AD)和云賬戶上進行操作。但根據網絡安全和基礎設施安全局(CISA)的說法，在修復之前，它就已經受到了大量的網絡攻擊。

12月，在發現Zoho ManageEngine0 day漏洞受到高級持續性威脅(APT)組織的主動攻擊后，聯邦調查局甚至還發出了官方警報。該漏洞(CVE-2021-44515)可以讓遠程攻擊者運行ManageEngine Desktop Central的服務器的功能，并且進行權限提升操作。其最終目的是將惡意軟件投放到組織的網絡中。

本文翻譯自：https://threatpost.com/critical-manageengine-desktop-server-bug-malware/177705/如若轉載，請注明原文地址。