Phát hiện lỗ hổng nghiêm trọng trên các sản phẩm của Zoho đang bị khai thác

www.tuoitre.vn -   14/12/2021 12:00:00 93

Nhà cung cấp phần mềm doanh nghiệp Zoho hôm thứ Sáu đã cảnh báo rằng một lỗ hổng nghiệm trọng mới được vá trên Desktop Central và Desktop Central MSP đang bị các tác nhân ngụy hại tích cực khai thác. Đây là lỗ hổng bảo mật thứ ba trong các sản phẩm của Zoho bị khai thác trên diện rộng trong vòng 4 tháng.

Phát hiện lỗ hổng nghiêm trọng trên các sản phẩm của Zoho đang bị khai thác

 Với định danh CVE-2021-44515, vấn đề có liên quan đến một lỗ hổng không qua xác thực cho phép kẻ tấn công phá vỡ các lớp bảo vệ xác thực và thực thi code tùy ý trong máy chủ Desktop Central MSP.

Trong một bài tư vấn, Zoho cảnh báo: “Khi khai thác, kẻ tấn công có quyền truy cập trái phép vào sản phẩm bằng cách gửi yêu cầu thủ công đặc biệt để có thể tiến hành thực thi code từ xa. Vì chúng tôi đang nhận thấy các dấu hiệu của việc khai thác này, chúng tôi đặc biệt khuyến nghị khách hàng nên cập nhật các bản cài đặt của họ lên phiên bản mới nhất càng sớm càng tốt.”

Công ty này cũng đã cung cấp Công cụ Phát hiện Khai thác (Exploit Detection Tool) giúp khách hàng xác định các dấu hiệu xâm phạm trong quá trình cài đặt của họ.

Với tiến triển này, CVE-2021-44515 phối hợp với hai lỗ hổng khác CVE-2021-44077 và CVE-2021-40539 trở thành vũ khí cho cuộc xâm phạm vào mạng lưới của các tổ chức cơ sở hạ tầng quan trọng trên toàn thế giới.

Tiết lộ này cũng được đưa ra một ngày sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cảnh báo về một lỗ hổng thực thi code từ xa không được xác thực với định danh CVE-2021-44077 trong sản phẩm ServiceDesk Plus. Việc khai thác lỗ hổng này nhằm mục đích đặt web shell và thực hiện hàng loạt hoạt động độc hại sau khai thác trong một chiến dịch có tên là “TiltedTemple”.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Các nhà nghiên cứu tiết lộ các lỗ hổng b...

07/05/2022 08:00:00 198
Hai lỗ hổng bảo mật mức độ nghiêm trọng cao, không bị phát hiện trong vài năm, đã được phát hiện tro...

Google phát hành bản cập nhật Android để...

06/05/2022 08:00:00 152
Google đã phát hành các bản vá bảo mật hàng tháng cho Android với các bản sửa lỗi cho 37 lỗ hổng trê...

Google sẽ thêm hỗ trợ xác thực không cần...

05/05/2022 08:00:00 156
Google hôm nay đã công bố kế hoạch triển khai hỗ trợ đăng nhập không cần mật khẩu trong Android và t...

Cảnh báo mã độc phát tán qua các bản cập...

29/04/2022 12:00:00 219
Những bản cập nhật độc hại này đang được lan truyền không giới hạn qua các trang web lậu, giả mạo.

Đã có thể yêu cầu Google xóa dữ liệu cá ...

28/04/2022 12:00:00 140
Dữ liệu này bao gồm số điện thoại, địa chỉ email và một số thông tin nhận dạng cá nhân khác.. Tất cả...

Trình duyệt Google Chrome vẫn luôn đứng ...

27/04/2022 12:00:00 168
Trong khi Chrome tuy vẫn là cái tên thống trị, nhưng đã ghi nhận sự sụt giảm nhẹ trong thị phần.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ