Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用

Zoho warns of zero-day authentication bypass flaw actively exploited

2021/09/09 SecurityAffairs — Zoho は、ManageEngine ADSelfService Plus に存在する認証バイパスの脆弱性 CVE-2021-40539 に対処するための、セキュリティ・パッチをリリースした。この脆弱性は、リモートコード実行 (RCE) につながる可能性があり、すでにワイルドな攻撃で悪用されていると警告している。

Zoho が公開したアドバイザリには、「ADSelfService Plus の REST API の URLに影響する、認証バイパスの脆弱性に対応した。この記事では、今回の問題の詳細と解決方法について説明している。この脆弱性を悪用する攻撃者は、特別に細工されたリクエストを送信することで、REST API エンドポイントを介した不正なアクセスを可能にする。その後に、攻撃を継続することで、RCE を得ることができる。また、この脆弱性が悪用されている兆候があり、きわめて深刻な状況にある」と述べている。

この欠陥は、ADSelfService Plus 6113 以前のバージョンが対象となり、ビルド 6114 以降のリリースで対処されている。脆弱性の有無を確認するには、ManageEngine\ADSelfService Plus の logs フォルダのアクセス・ログに、以下の文字列があるかどうかを確認する。

・/RestAPI/LogonCustomization
・/RestAPI/Connection

また、米国の CISA も、脆弱性 CVE-2021-40539 に関するセキュリティ・アドバイザリを公開している。CISA は、「ManageEngine ADSelfService Plus ビルド 6113 以下に影響する、脆弱性 (CVE-2021-40539) に関するセキュリティ・アップデートを、Zoho は公開した。この CVE-2021-40539 は、ワイルドに悪用されている。リモートの攻撃者が、この脆弱性を悪用して、脆弱化したシステムを乗っ取る可能性がある。ManageEngine ADSelfService Plus は、Active Directory やクラウド・アプリに対応する、セルフサービス型のパスワード管理/Single Sign-on ソリューションである。CISA は、それぞれの組織に対して、ADSelfService Plus がインターネットから直接にアクセスされないことを、確認するよう強く求めている」と述べている。

この CVE-2021-40539 は、9月7日に NVD がアドバイザリを出しましたが、詳細に関しては追いかけていないため、Vuldb の情報を元に 9月9日のレポートに掲載していました。このブログは4月から始めて、そろそろ半年が経ちますが、Zoho は初登場です。脆弱性情報を拾っていると、かなりの頻度でお目にかかる Zoho ですが、この間は、それほど深刻な問題が生じなかったということなのでしょう。ただ、今回の脆弱性は ManageEngine ADSelfService Plus に存在し、パスワード管理/Single Sign-on ソリューションに関連し、また、API と AD の絡む RCE なので、要注意です。

%d bloggers like this: