警告：发现另一款Zoho ManageEngine产品受到主动攻击

企业软件提供商Zoho周五警告称，其Desktop Central和Desktop Central MSP中一个新修补的关键漏洞正被恶意参与者积极利用，这是其产品在四个月内第三个被滥用的安全漏洞。

该问题的标识符为CVE-2021-44515，它是一个绕过身份验证的漏洞，可允许对手绕过身份验证保护并在桌面中央MSP服务器中执行任意代码。

“如果受到攻击，攻击者可以通过发送一个精心编制的请求来获得对该产品的未经授权的访问，从而导致远程代码执行，”Zoho在一份建议中警告说。“由于我们注意到有迹象表明存在利用此漏洞的行为，我们强烈建议客户尽快将其安装更新为最新版本。”

该公司还提供了一种漏洞检测工具，可以帮助客户识别设备中存在的泄露迹象。

随着这一发展，CVE-2021-44515加入了另外两个漏洞CVE-2021-44077和CVE-2021-40539，这两个漏洞已被武器化，以破坏世界各地关键基础设施组织的网络。

此前一天，美国网络安全和基础设施安全局（CISA）警告CVE-2021-44077—；影响ServiceDesk Plus—的未经验证的远程代码执行漏洞；正在被利用来投掷网络外壳，并进行一系列的攻击后活动，这是一场名为“TiltedTemple”的活动的一部分