ビジネス ソフトウェア プロバイダーの Zoho は、複数の ManageEngine 製品に影響を与える重大なセキュリティの脆弱性にパッチを適用するよう顧客に促しています。
CVE-2022-47523 として追跡されているこの欠陥は、同社の Password Manager Pro セキュア ボールト、PAM360 特権アクセス管理ソフトウェア、および Access Manager Plus 特権セッション管理ソリューションで見つかった SQL インジェクションの脆弱性です。
悪用に成功すると、セキュリティ バグにより、攻撃者はバックエンド データベースへの認証されていないアクセスが可能になり、カスタム クエリを実行してデータベース テーブル エントリにアクセスできるようになります。
Zoho は次のように述べています。
同社は、「この脆弱性の深刻さを考えると、PAM360、Password Manager Pro、および Access Manager Plus の最新ビルドにすぐにアップグレードすることを強くお勧めします」と付け加えました。
Zoho は、先月、特殊文字をエスケープし、適切な検証を追加することで、この問題を修正したと述べています。
インストールをアップグレードするには、最初に製品の最新のアップグレード パックをダウンロードする必要があります ( PAM360 、 Password Manager Pro 、 Access Manager Plus )。
次のステップは、各製品のアップグレード パック ページにあるアップグレード手順に従って、最新のビルドをデプロイすることです。
| 商品名 | 影響を受けるバージョン | 修正版 | 固定オン |
| パスワード マネージャー プロ | 12200以下 | 12210 | 2022 年 12 月 30 日 |
| PAM360 | 5800 以下 | 5801 | 2022 年 12 月 28 日 |
| アクセスマネージャープラス | 4308 以下 | 4309 | 2022 年 12 月 29 日 |
9 月、CISA は、別の重大な ManageEngine 脆弱性 (CVE-2022-35405) が攻撃に悪用され、PAM360、Access Manager Plus、および Password Manager Pro を実行しているパッチが適用されていないサーバーでリモート コードが実行されることを警告しました。
米国連邦民間行政機関 (FCEB) の機関は、脆弱なシステムにパッチを適用し、ネットワークを悪用の試みから確実に保護するために 3 週間を与えられました。
ここ数年、Zoho ManageEngine サーバーは絶えず標的にされてきました。たとえば、Desktop Central インスタンスがハッキングされ、侵害された組織のネットワークへのアクセスが 2020 年 7 月からハッキング フォーラムで販売されています。
2021 年 8 月から 10 月にかけて、 国家レベルのハッカーも、中国に関連する APT27 ハッキング グループと同様の戦術とツールを使用して、ManageEngine サーバーを標的にしました。
これらの大規模な攻撃キャンペーンに続いて、FBI と CISA は2 つの共同勧告 [1、2 ]を発行し、国家支援の攻撃者が ManageEngine のバグを悪用して重要インフラストラクチャ組織のネットワークにバックドアを仕掛けていることを警告しました。
Comments