米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月6日(米国時間)、「Zoho Releases Security Advisory for ManageEngine Desktop Central and Desktop Central MSP|CISA」において、Zohoが提供している統合エンドポイント管理ソフトウェアの「ManageEngine Desktop Central」および「ManageEngine Desktop Central MSP」に脆弱性が報告されており、同社がセキュリティアドバイザリをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象の製品の認証機能を回避されて任意のコードを実行される恐れがある。

Zohoからは、顧客向けに次のアナウンスが行われている。

An authentication bypass vulnerability identified and fixed in Desktop Central and Desktop Central MSP

また、それぞれの製品における影響や対応方法は、次のセキュリティアドバイザリにまとめられている。

Authentication Bypass using Filter Configuration | ManageEngine
CVE-2021-44515| ManageEngine

  • CVE-2021-44515: Security Advisory - ManageEngine Desktop Central

    CVE-2021-44515: Security Advisory - ManageEngine Desktop Central

  • CVE-2021-44515: Security Advisory - ManageEngine Desktop Central MSP

    CVE-2021-44515: Security Advisory - ManageEngine Desktop Central MSP

この脆弱性はCVE-2021-44515として追跡されており、重要度は「Critical」となっている。攻撃者は影響を受ける製品の認証をバイパスして、Desktop CentralサーバおよびDesktop Central MSPサーバで任意のコードを実行できる可能性がある。

影響を受けるバージョンおよび脆弱性が修正されたバージョンは次のとおりとなっている。

・Desktop Central Enterprise Edition バージョン10.1.2127.17 (バージョン10.1.2127.18で修正)
・ Desktop Central Enterprise Edition バージョン10.1.2128.0から10.1.2137.2 (バージョン10.1.2137.3で修正)
・Desktop Central MSP バージョン 10.1.2127.17 (バージョン10.1.2127.18で修正)
・Desktop Central MSP バージョン10.1.2128.0から10.1.2137.2 (バージョン10.1.2137.3で修正)

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Zohoによるアナウンスおよびセキュリティアドバイザリを確認し、すぐに指定された緩和策を適用することを推奨している。