Introducción
El pasado lunes 17 de enero, Zoho emitió un parche para una vulnerabilidad que afectaba a ManageEngine Desktop Central y Desktop Central MSP. [1]
Análisis
La vulnerabilidad permitía a un atacante sin autenticar, realizar acciones no autorizadas en el servidor. De esta forma, el atacante podría leer datos no permitidos o crear archivos zip de manera arbitraria en el servidor. [2]
Productos afectados:
-
-
- ManageEngine Desktop Central versiones anteriores a la 10.1.2137.9
- ManageEngine Desktop Central MSP versiones anteriores a la 10.1.2137.9
-
Esta vulnerabilidad tiene una puntuación CVSSv3 de 7.8, por lo que se considera de alta prioridad.
No existe prueba de concepto que explote esta vulnerabilidad.
Recomendaciones
Zoho ya ha resuelto esta vulnerabilidad en su parche 10.1.2137.9. Para solucionarla, se debe iniciar sesión en la consola de Desktop Central [4] e instalar el archivo PPM para actualizar.
Referencias
[1] https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html[2] https://securityaffairs.co/wordpress/126828/security/zoho-desktop-central-cve-2021-44757-flaw.html
[3] https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
[4]https://accounts.zoho.com/signin?serviceurl=https://me.zoho.com/portal/mestore/redirectManageEngine.do&hide_signup=true&servicename=ManageEngine&css=https://www.zoho.com/css/me-login-spack.css