[Etats-Unis] Vulnérabilités critiques dans plusieurs produits ZOHO

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Criticité

Score CVSS v3.1: 9.8 max

La faille est activement exploitée

OUI pour laCVE-2021-44077
OUI pour laCVE-2021-44515
NON pour laCVE-2021-44526

Un correctif existe

OUI pour l’ensemble des CVE présentées

 

Une mesure de contournement existe

NON pour l’ensemble des CVE présentées

 

Les vulnérabilités exploitées sont du type

Pour la vulnérabilité CVE-2021-44077

CWE-284 : Improper Access Control
CWE-287 : Improper Authentication

Pour la vulnérabilité CVE-2021-44515

CWE-287 : Improper Authentication

Pour la vulnérabilité CVE-2021-44526

CWE-287 : Improper Authentication.

Détails sur l’exploitation

Pour la vulnérabilité CVE-2021-44077

Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la vulnérabilité CVE-2021-44515

Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la vulnérabilité CVE-2021-44526

Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : non
L’exploitation de la faille permet d’obtenir des droits privilégiés : non

Composants vulnérables

Pour la vulnérabilité CVE-2021-44077

Le produit ManageEngine ServiceDesk Plus, version 11305
Le produit ManageEngine ServiceDesk PlusMSP, version 10527
Le produit ManageEngine ServiceDesk PlusMSP, version 10529
Le produit ManageEngine SupportCenterPlus, version 11012
Le produit ManageEngine SupportCenter Plus, version 11013

Pour la vulnérabilité CVE-2021-44515

L’éditeur précise que le produit Manage Engine Desktop Central MSP est vulnérable et que toutes les versions peuvent être impactées.  L’éditeur a réalisé un programme permettant d’aider l’utilisateur à savoir si son installation est actuellement vulnérable. Le programme est disponible ici :

https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip

Pour la vulnérabilité CVE-2021-44526

Toutes les éditions du produit Zoho ManageEngine SupportCenter Plus, version 11017, sont concernées

 

Pour la vulnérabilité CVE-2021-44077

• L’éditeur recommande aux utilisateurs de contacter le service d’assistance avant d’effectuer la mise à jour. Adresse de contact : support@servicedeskplus.com
   
• Après avoir contacté le service d’assistance, effectuer la mise à jour du produit Support Center Plus vers la version 11016. La dernière version est disponible ici :https://www.manageengine.com/products/support-center/service-packs.html

Pour la vulnérabilité CVE-2021-44515

• Dans un premier temps, l’éditeur recommande l’utilisation d’un programme pour détecter si l’installation chez l’utilisateur est actuellement exploitée. Le programme est disponible ici :https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip

• Dans un second temps, selon le résultat du programme (installation impactée ou non par la vulnérabilité), l’éditeur propose un processus à suivre. Ce processus est détaillé ici :
  https://www.manageengine.com/desktop-management-msp/cve-2021-44515-security-advisory.html

Pour la vulnérabilité CVE-2021-44526

• Effectuer la mise à jour du produit Zoho ManageEngine SupportCenter Plus vers la version 11018. 
   
• L’éditeur recommande aux utilisateurs de faire une sauvegarde des données avant d’effectuer la mise à jour. Plus d’informations sont disponibles ici :
  https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44526-authentication-bypass-vulnerability-in-supportcenter-plus-versions-up-to-11017