Zoho vá lỗ hổng nghiêm trọng trên ManageEngine Desktop Central

Gần đây, nhà sản xuất phần mềm doanh nghiệp Zoho đã phát hành các bản vá cho một lỗ hổng an ninh nghiêm trọng ảnh hưởng đến phần mềm Desktop Central và Desktop Central MSP, cho phép tin tặc khai thác để thực hiện các hoạt động trái phép trong máy chủ bị ảnh hưởng.

Có mã định danh CVE-2021-44757, lỗ hổng liên quan đến vấn đề vượt qua xác thực, “có thể cho phép hacker đọc dữ liệu trái phép hoặc ghi tệp zip tùy ý trên máy chủ.”

Lỗ hổng an ninh được phát hiện bởi nhà nghiên cứu Osword của Qi’anxin Group. Ngay sau đó, Zoho đã phát hành phiên bản 10.1.2137.9 để khắc phục.

Trong phiên bản 10.1.2137.9 mới nhất, Zoho đã giải quyết 4 lỗi. Đáng chú ý là 3 lỗ hổng rất nghiêm trọng, bao gồm:

• CVE-2021-40539 (CVSS: 9.8) – Lỗi vượt qua xác thực ảnh hưởng đến Zoho ManageEngine ADSelfService Plus
• CVE-2021-44077 (CVSS: 9.8) – Lỗi thực thi mã từ xa không yêu cầu xác thực để khai thác, ảnh hưởng đến Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP, và SupportCenter Plus
• CVE-2021-44515 (CVSS: 9.8) – Lỗi vượt qua xác thực ảnh hưởng đến Zoho ManageEngine Desktop Central

Zoho cho biết, tin tặc đã khai thác những lỗ hổng này trong thực tế, đồng thời khuyến cáo khách hàng cập nhật bản vá sớm nhất có thể.

Để cập nhật lên phiên bản 10.1.2137.9, bạn có thể làm theo hướng dẫn sau:

1. Đăng nhập vào bảng điều khiển Desktop Central MSP và Desktop Central, nhấp vào số phiên bản dựng ở phía góc phải trên cùng
2. Bạn sẽ có thể tìm thấy bản dựng mới nhất có thể được triển khai. Sau đó, tiền hành tải xuống PPM và cập nhật.

Theo Thehackernews