Security Week 49: критическая уязвимость в Zoho ManageEngine

3 декабря компания Zoho, разработчик ПО и сервисов для совместной работы, раскрыла данные о критической уязвимости в программе Zoho ManageEngine Desktop Central. Это приложение для централизованного управления парком устройств в организации. Уязвимость CVE-2021-44515 позволяет обойти систему авторизации и выполнить произвольный код на сервере.



Уязвимость классифицируется как zero day: на момент обнаружения она уже эксплуатировалась злоумышленниками. Это далеко не первая успешная попытка атаки на корпоративные решения Zoho. В начале ноября уже приходили сообщения о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему Single Sign-On и предоставляет сотрудникам интерфейс для смены пароля.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Поговорим о планировании внедрения DevSecOps
• Реверс — это сканворд. Как я впервые нормально понял Ghidra
• Хайстекс Акура 4.5: Свобода миграции без API, нативный бэкап PostgreSQL и защита от шифровальщиков на уровне S3
• Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
• Налоги, Telegram и абсурд происходящего
• Как стать автором патента на изобретение и получить его за 2,5 месяца
• Сеть, в которой живут агенты: кто нажал Enter и как это проверить
• Не только про производительность — как балансировщик нагрузки обеспечивает отказоустойчивость
• Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников
• ИИ против ИИ: кто победит в кибербезопасности