SK-CERT Bezpečnostné varovanie V20220119-02

19. januára 2022

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.1

Identifikátor

Zoho ManageEngine Desktop Central Server – kritická bezpečnostná zraniteľnosť

Popis

Vývojári nástroja Zoho ManageEngine vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne vytvorenej požiadavky, získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme.

Dátum prvého zverejnenia varovania

17.01.2022

CVE

CVE-2021-44757

IOC

–

Zasiahnuté systémy

ManageEngine Desktop Central Server vo verzii staršej ako 10.1.2137.9
Zoho ManageEngine Desktop Central MSP vo verzii staršej ako 10.1.2137.9

Následky

Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html
https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44757
https://exchange.xforce.ibmcloud.com/vulnerabilities/217418

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20220119-02

SK-CERT Bezpečnostné varovanie V20240418-04

SK-CERT Bezpečnostné varovanie V20240418-03

SK-CERT Bezpečnostné varovanie V20240418-03