美国联邦调查局(FBI)上周警告,已有多个APT攻击组织正在滥用Zoho的ManageEngine Desktop Central服务器上的安全漏洞,虽然Zoho已于今年的12月3日修补该漏洞,但黑客的滥用行动早在10月便展开了。
Zoho为印度软件企业,最知名的产品是网页版的生产力软件Zoho Office Suite,旗下也有另一个专门提供中、小企业IT管理的ManageEngine品牌,Desktop Central则是ManageEngine中的统一端点管理解决方案,可协助中、小企业集中管理内部的服务器、个人计算机、手机及平板电脑等。
Zoho在今年12月所修补的漏洞为CVE-2021-44515,此为ManageEngine Desktop Central的身份认证绕过漏洞,将允许黑客绕过认证机制并于Desktop Central服务器上执行任意程序,被列为重大(Critical)等级漏洞。
FBI则说,早在今年10月就有多个先进持续威胁(APT)黑客组织滥用了该漏洞,它们以一个恶意的Webshell取代了Desktop Central上的合法功能,再下载其他攻击工具,枚举分析所入侵网页的用户及群组,进行网络侦察并企图横向移动,还到处搜集账号密码。
由于Zoho修补时该漏洞已被滥用,因此Zoho也打造了滥用侦测工具及入侵指标,让用户在修补前先检查是否已被入侵,倘若答案是肯定的,就必须先格式化后再重新部署Desktop Central。
