[Etats-Unis] Vulnérabilités critiques dans plusieurs produits ZOHO
Date de publication :
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Criticité
- Score CVSS v3.1: 9.8 max
La faille est activement exploitée
- OUI pour laCVE-2021-44077
- OUI pour laCVE-2021-44515
- NON pour laCVE-2021-44526
Un correctif existe
- OUI pour l’ensemble des CVE présentées
Une mesure de contournement existe
- NON pour l’ensemble des CVE présentées
Les vulnérabilités exploitées sont du type
Pour la vulnérabilité CVE-2021-44077
- CWE-284 : Improper Access Control
- CWE-287 : Improper Authentication
Pour la vulnérabilité CVE-2021-44515
- CWE-287 : Improper Authentication
Pour la vulnérabilité CVE-2021-44526
- CWE-287 : Improper Authentication.
Détails sur l’exploitation
Pour la vulnérabilité CVE-2021-44077
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la vulnérabilité CVE-2021-44515
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la vulnérabilité CVE-2021-44526
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : non
Composants vulnérables
Pour la vulnérabilité CVE-2021-44077
- Le produit ManageEngine ServiceDesk Plus, version 11305
- Le produit ManageEngine ServiceDesk PlusMSP, version 10527
- Le produit ManageEngine ServiceDesk PlusMSP, version 10529
- Le produit ManageEngine SupportCenterPlus, version 11012
- Le produit ManageEngine SupportCenter Plus, version 11013
Pour la vulnérabilité CVE-2021-44515
- L’éditeur précise que le produit Manage Engine Desktop Central MSP est vulnérable et que toutes les versions peuvent être impactées. L’éditeur a réalisé un programme permettant d’aider l’utilisateur à savoir si son installation est actuellement vulnérable. Le programme est disponible ici :
https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip
Pour la vulnérabilité CVE-2021-44526
- Toutes les éditions du produit Zoho ManageEngine SupportCenter Plus, version 11017, sont concernées
Solutions ou recommandations
Pour la vulnérabilité CVE-2021-44077
- L’éditeur recommande aux utilisateurs de contacter le service d’assistance avant d’effectuer la mise à jour. Adresse de contact : support@servicedeskplus.com
- Après avoir contacté le service d’assistance, effectuer la mise à jour du produit Support Center Plus vers la version 11016. La dernière version est disponible ici :https://www.manageengine.com/products/support-center/service-packs.html
Pour la vulnérabilité CVE-2021-44515
- Dans un premier temps, l’éditeur recommande l’utilisation d’un programme pour détecter si l’installation chez l’utilisateur est actuellement exploitée. Le programme est disponible ici :https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip
- Dans un second temps, selon le résultat du programme (installation impactée ou non par la vulnérabilité), l’éditeur propose un processus à suivre. Ce processus est détaillé ici :
https://www.manageengine.com/desktop-management-msp/cve-2021-44515-security-advisory.html
Pour la vulnérabilité CVE-2021-44526
- Effectuer la mise à jour du produit Zoho ManageEngine SupportCenter Plus vers la version 11018.
- L’éditeur recommande aux utilisateurs de faire une sauvegarde des données avant d’effectuer la mise à jour. Plus d’informations sont disponibles ici :
https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44526-authentication-bypass-vulnerability-in-supportcenter-plus-versions-up-to-11017