www.belgium.be Logo of the federal government

Vulnérabilité de type Zero-Day pour ZOHO

Référence: 
Advisory #2020-006
Version: 
1.0
Logiciels concernés : 
ManageEngine Desktop Central versions 10.0.473 et antérieures.
Type: 
Exécution de code malveillant à distance (RCE)
CVE/CVSS: 
Date: 
09/03/2020

Sources

https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html

https://www.bleepingcomputer.com/news/security/zoho-fixes-no-auth-rce-zero-day-in-manageengine-desktop-central/

Risques

Cette vulnérabilité pourrait permettre à un acteur malveillant d’exécuter du code arbitraire à distance sur les "Desktop Central" affectés. Aucune authentification n’est requise pour exploiter cette vulnérabilité.

Description

Zoho a publié une mise à jour de sécurité qui affecte le logiciel ManageEngine Desktop Central pour les versions 10.0.473 et antérieures.

Une exploitation réussie du CVE-2020-10189 pourrait permettre aux acteurs malveillant d’exécuter du code arbitraire en tant que SYSTEM/root sur des systèmes non patchés exécutant le Unified Endpoint Management (UEM) de Zoho. Les installations centrales non patchées pourraient également conduire au déploiement de logiciels malveillants dangereux sur le réseau d'une entreprise.

Actions recommandées

CERT.be recommande aux utilisateurs d'une version vulnérable du logiciel ManageEngine Desktop Central de mettre à jour leur installation vers la dernière version publiée par Zoho.