CISA KEV 警告 22/09/22:Zoho ManageEngine 脆弱性 CVE-2022-35405 の活発な悪用

CISA Warns of Hackers Exploiting Recent Zoho ManageEngine Vulnerability

2022/09/23 TheHackerNews — 火曜日に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、最近に公開された Zoho ManageEngine の脆弱性を、活発な悪用の証拠があるとして、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA は、「Zoho ManageEngine の PAM360/Password Manager Pro/Access Manager Plus には、リモートコードを実行にいたる、特定されていない脆弱性が存在する」と述べている。

この、深刻な脆弱性 CVE-2022-35405 は、CVSS 値が 9.8 と評価されており、2022年6月24日にリリースされた更新プログラムの一部として、Zoho はパッチを適用している。

現時点において、この脆弱性の正確な内容は不明だが、ManageEngine は、任意のコードのリモート実行につながる、脆弱なコンポーネントを削除することで、この問題に対処したと述べている。

さらに Zoho は、この脆弱性に関する PoC エクスプロイトが公開されていることを警告しており、PAM360/Password Manager Pro/Access Manager Plus のインスタンスについて、可能な限り早急にアップグレードしてほしいと促している。

CISA は、この脆弱性に関する武器化の詳細と、悪用の活動の規模について情報を共有していないが、GreyNoise が収集したデータによると、2022年9月7日に野放し状態での攻撃が検出されたことが判明している。

こうした悪用の状況を踏まえて、連邦民間行政機関 (FCEB) の各機関に対して、2022年10月13日までに Zoho が提供するパッチの適用が求められている。

この脆弱性 CVE-2022-35405 ですが、お隣のキュレーション・チームに聞いたところ、7月27日のレポートに掲載しているとのことです。ただし、CVSS 値が 7.3 から 9.8 に変更されたことで、9月8日に再掲載したとのことです。CISA が KEV を更新したのは 9月22日であり、この日は Zoho だけの追加なので、緊急度が高いのかと推測されます。Zoho に関しては、7月1日に「Zoho ManageEngine ADAudit Plus のバグ:Active Directory アカウント侵害にいたる」という記事がありましたが、こちらは CISA KEV には該当しないようです。

%d bloggers like this: