Zoho Corp zei maandag dat het patches heeft vrijgegeven voor een kritieke kwetsbaarheid die van invloed is op Desktop Central en Desktop Central MSP, de oplossingen voor eindpuntbeheer van ManageEngine.
Bijgehouden als CVE-2021-44757 en beoordeeld als kritieke ernst, is de nieuw geadresseerde beveiligingsfout een probleem met het omzeilen van authenticatie waardoor een aanvaller op afstand verschillende acties op de server kan uitvoeren.
"Er is een kwetsbaarheid voor het omzeilen van authenticatie […] geïdentificeerd die een aanvaller, wanneer deze wordt misbruikt, in staat kan stellen om ongeautoriseerde gegevens te lezen of een willekeurig zipbestand te schrijven", legt Zoho uit.
Iedereen met toegang tot het interne netwerk kan misbruik maken van de kwetsbaarheid, ook als er een security gateway in gebruik is voor toegang tot de centrale server. Het beveiligingslek kan ook vanaf internet worden misbruikt, op voorwaarde dat UI Access is ingeschakeld via Secure Gateway.
Op 17 januari kondigde Zoho de beschikbaarheid aan van: slaappleisters voor zowel Desktop Central als Desktop Central MSP. Gebruikers van beide oplossingen voor eindpuntbeheer moeten upgraden naar build 10.1.2137.9 om het probleem op te lossen.
Klanten wordt geadviseerd om in te loggen op hun Desktop Central-console en het huidige buildnummer in de rechterbovenhoek te controleren. Degenen in het buildbereik 10.1.2140.X tot 10.1.2149.X moeten contact opnemen met het ManageEngine-team om de fix te ontvangen.
"Volg de beveiligingsrichtlijnen voor Desktop Central en Desktop Central MSP om ervoor te zorgen dat alle beveiligingscontroles zijn geconfigureerd om uw netwerk veilig te houden", zegt het bedrijf.
Desktop Central en Desktop Central MSP zijn ontworpen als centrale locaties voor het beheer van alle soorten apparaten binnen een organisatie, waaronder desktops, laptops, servers, smartphones en tablets.
Terwijl Desktop Central bedoeld is als aanvulling op traditionele desktopbeheerservices, is Desktop Central MSP gemaakt voor kleine, middelgrote en grote MSP's.
Zoho maakte geen melding van de kwetsbaarheid die wordt misbruikt bij kwaadaardige aanvallen.
Zie ook: Zoho bevestigt nieuwe Zero-Day, Ships Exploit Detector
Zie ook: Zoho bevestigt bypass-aanvallen met nul-dagverificatie
Zie ook: CISA breidt lijst 'must-patch' uit met Log4j, FortiOS en andere kwetsbaarheden
Ionut Arghire is een internationale correspondent voor SecurityWeek.
Tags: Bron: https://www.securityweek.com/zoho-patches-critical-vulnerability-endpoint-management-solutions
