Zoho：尽快修复已遭利用的 ManageEngine 严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Zoho 公司的ManageEngine Desktop Central 是一款管理平台，帮助管理员自动将补丁和软件部署到网络并进行远程调试。

Zoho 公司修复了严重漏洞（CVE-2021-44515）后发出该警报。该漏洞可导致攻击者绕过认证，在未修复的 ManageEngine Desktop Central 服务器（Desktop Central Cloud 未受影响）上执行任意代码。Zoho 在通知中表示，“我们注意到该漏洞遭利用的迹象，强烈建议客户尽快更新至最新版本。”

Zoho 提供了漏洞将测工具 Exploit Detection Tool 供用户查看自己所用版本是否已遭攻击。

Zoho 建议，如遭攻击，则断开网络连接并备份所有关键的业务数据，将受攻陷服务器格式化、恢复 Desktop Central 并将其更新至最新版本。如发现攻陷迹象，则建议“为遭访问的所有服务、账户、Active Directory 等重置密码”以及重置 Active Directory 管理员密码。

从 Shodan 快速搜索可知，3200多个 ManageEngine Desktop Central 实例在多个端口上运行并暴露于攻击。

这并非 Zoho ManageEngine 首次遭攻击。尤其是 Desktop Central 实例此前曾遭入侵，并至少从2020年7月开始，受攻陷网络的访问权限就在黑客论坛上售卖。

网络情报公司 KELA 发现了这些攻击的幕后黑手，后者向全球各地的企业出售网络访问权限并声称访问了位于美国、英国、西班牙和巴西的设备。更近期的案例是，2021年8月至10月期间，Zoho ManageEngine 产品被指遭国家黑客攻击。

攻击者集中于并通过三次攻击攻陷了全球的关键基础设施组织机构的网络。他们在攻击中利用了 ADSelfService 中的一个 0day exploit （8月初至9月中）、AdSselfService 中的一个nday exploit（10月末之前）以及 ServiceDesk 中的一个漏洞（自10月25日起）。

攻击发生后，FBI 和 CISA 联合发布警报称 APT 组织利用多个ManageEngine 漏洞 在目标关键基础设施组织机构网络上释放 webshell，这些机构包括医疗机构、金融服务、电子企业和IT咨询行业。

此外，这两家机构指出，难以证明攻击中的攻陷是否成功，因为“攻击者会运行旨在删除攻陷初始点痕迹的清理脚本，并隐藏漏洞和 webshell 之间的任意关联性。”

目前 Zoho 公司尚未就CVE-2021-44515漏洞被在野利用的情况置评。

攻陷检测地址：

https://www.manageengine.com/products/desktop-central/cve-2021-44515-authentication-bypass-filter-configuration.html