شرکت زوهو به کاربران محصولات خود در خصوص وجود یک آسیب‌پذیری امنیتی با درجه اهمیت “حیاتی” (Critical) در بسترهای Zoho ManageEngine Desktop Central و Desktop Central MSP هشدار داده است.به گزارش مرکز مدیریت راهبردی افتا، ضعف امنیتی یادشده دارای شناسه CVE-۲۰۲۱-۴۴۷۵۷ و از نوع Authentication-bypass  است و می‌تواند برای مهاجم، امکان “اجرای کد از راه دور” و انجام فعالیت‌های غیرمجاز را در سرور بدون اصالت‌سنجی فراهم کند. 
بنا بر توصیه‌نامه شرکت زوهو (Zoho Corporation)، این ضعف امنیتی می‌تواند امکان دسترسی مهاجمان را به اطلاعات غیرمجاز و همچنین امکان قراردادن یک فایل .ZIP  را بر روی سرور فراهم کند.
Zoho ManageEngine Desktop Central راهکار یکپارچه مدیریت  Endpoint(Unified Endpoint Management – به‌اختصار UEM) است که مدیران فناوری اطلاعات از طریق آن سرورها، لپ‌تاپ‌ها، رایانه‌های رومیزی، تلفن‌های هوشمند و تبلت‌ها را از یک مکان مرکزی مدیریت می‌کنند.
بنا بر مستندات شرکت زوهو، کاربران می‌توانند روال‌هایی همچون نصب وصله‌های به‌روزرسانی، توزیع نرم‌افزار و سیستم‌عامل را در شبکه خودکار کنند. همچنین می‌توان از آن برای مدیریت دارایی‌ها و مجوزهای نرم‌افزار، نظارت بر آمار میزان استفاده از نرم‌افزار، مدیریت استفاده از دستگاه‌های USB، کنترل دسکتاپ‌های راه دور و موارد دیگر استفاده کرد.
با استفاده از امکانات Zoho ManageEngine بر روی دستگاه‌های همراه نیز کاربران می‌توانند علاوه بر پیاده‌سازی پروفایل‌ها و سیاست‌ها، دستگاه‌ها را برای به‌کارگیری Wi-Fi، VPN  و حساب‌های ایمیل پیکربندی کنند؛ همچنین اعمال محدودیت در نصب برنامه، استفاده از دوربین و مرورگر، مدیریت امنیت از طریق تعریف رمز عبور و قابلیت قفل/پاک‌کردن از راه دور از دیگر مواردی است که از طریق بستر مدیریتی یادشده، قابل انجام است.
به‌این‌ترتیب، این بستر، دسترسی گسترده‌ای به زیرساخت‌های فناوری اطلاعات یک سازمان فراهم می‌کند و به طور بالقوه در صورت سوءاستفاده، به افشای اطلاعات، می‌تواند منجر شود. همچنین، فراهم شدن امکان نصب یک فایل .ZIP با سوءاستفاده از Zoho Desktop Central، نصب بدافزار در تمام نقاط پایانی بر روی این بستر مدیریتی را برای مهاجم سهل و آسان می‌کند.
نسخه MSP نیز همان‌طور که از نامش پیداست، برای شرکت‌های ارائه‌دهنده خدمات مدیریت‌شده (Managed Service Provider – به‌اختصار MSP)، قابلیت مدیریت  EndPointرا برای ارائه به مشتریان آن‌ها فراهم می‌کند. 
مهاجم از ضعف امنیتی به شناسه CVE-۲۰۲۱-۴۴۷۵۷ می‌تواند در حملات موسوم به زنجیره تأمین (Supply-Chain attack) سوءاستفاده کند.
مجرمان سایبری می‌توانند به‌سادگی با سوءاستفاده از این آسیب‌پذیری، به نسخه MSP Desktop Central MSP نفوذ کرده و بر اساس تنظیمات امنیتی شرکت ارائه‌دهنده آن، به طور بالقوه به مشتریانی، دسترسی پیدا کنند که از آن‌ها خدمات دریافت می‌کنند. 
شرکت زوهو، با انتشار توصیه‌نامه‌هایی در نشانی‌های زیر، جزئیات وصله‌ها را منتشر کرده و راهبران امنیتی را برای درامان‌ماندن از تهدیدات، به به‌روزرسانی Zoho ManageEngine تشویق می‌کند. 

https://www.manageengine.com/products/desktop-central/cve-۲۰۲۱-۴۴۷۵۷.html
https://www.manageengine.com/desktop-management-msp/cve-۲۰۲۱-۴۴۷۵۷.html

این شرکت همچنین نکاتی را برای مقاوم‌سازی کلی بسترهای Desktop Central در نشانی‌های زیر ارائه کرده است.

 https://pitstop.manageengine.com/portal/en/community/topic/desktop-central-server-hardening-guidelines
https://www.manageengine.com/products/desktop-central/security-recommendations.html

این شرکت در خصوص این که آیا به ضعف امنیتی CVE-۲۰۲۱-۴۴۷۵۷  به‌عنوان آسیب‌پذیری “روز – صفر” (Zero-day) حمله‌ای شده یا خیر؟ اطلاع‌رسانی نکرده است؛ اما چنانچه تاکنون مهاجمان سایبری از آن سوءاستفاده نکرده‌اند، احتمال آن وجود دارد که به‌زودی به بهره‌جویی از آن و هدف قراردادن زیرساخت‌های سازمان‌ها شروع کنند. 
بستر ManageEngine باتوجه‌به کاربرد وسیع و ماهیت همه‌جانبه آن، هدف جذابی برای مهاجمان است. در ماه سپتامبر نیز آسیب‌پذیری دیگری با درجه اهمیت “حیاتی” با شناسه CVE-۲۰۲۱-۴۰۵۳۹ در بستر Zoho ManageEngine ADSelfService Plus  شناسایی شد و شرکت زوهو با انتشار توصیه‌نامه امنیتی به نشانی زیر، به‌روزرسانی مربوط را نیز ارائه داد. 

https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

این آسیب‌پذیری امکان کنترل Active Directory و حساب‌های Cloud کاربران را برای مهاجمان از راه دور با دورزدن سازوکارهای احراز هویت فراهم می‌کرد.
 طبق اظهارات آژانس امنیت سایبری و حفاظت از زیرساخت ایالات متحده (Cybersecurity and Infrastructure Security Agency – به‌اختصار CISA)، از ضعف امنیتی CVE-۲۰۲۱-۴۰۵۳۹ قبل از انتشار توصیه‌نامه نیز به طور فعال در حملات سوءاستفاده شده بود.
در ماه دسامبر نیز FBI، نسبت به آسیب‌پذیری “روز – صفر” با شناسه CVE-۲۰۲۱-۴۴۵۱۵ در Zoho ManageEngine  هشداری رسمی صادر کرد که در حملات APT (Advanced Persistent Threat) از آن به طور فعال سوءاستفاده شده بود. اطلاعیه رسمی FBI دراین‌خصوص در نشانی زیر قابل دریافت است:

 https://www.ic۳.gov/Media/News/۲۰۲۱/۲۱۱۲۲۰.pdf

ضعف امنیتی  یادشده، می‌تواند برای مهاجمان امکان لغو عملکردهای قانونی را از راه دور در سرورهایی که ManageEngine Desktop  Central  را اجرا می‌کنند به همراه دسترسی سطح بالا باهدف استقرار بدافزار در شبکه‌های سازمانی فراهم کند.

منبع:

https://threatpost.com/critical-manageengine-desktop-server-bug-malware/۱۷۷۷۰۵/
https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1941/Staging/%D9%87%D8%B4%D8%AF%D8%A7%D8%B1-%D8%AF%D8%B1-%D8%AE%D8%B5%D9%88%D8%B5-%D8%A2%D8%B3%DB%8C%D8%A8%E2%80%8C%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%AD%DB%8C%D8%A7%D8%AA%DB%8C-%D8%AF%D8%B1-Zoho-ManageEngine

(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)