Zoho ManageEngine の深刻な脆弱性 CVE-2022-47523 が FIX:直ちにパッチ適用を!

Zoho urges admins to patch critical ManageEngine bug immediately

2023/01/04 BleepingComputer — ビジネスソフト・プロバイダーである Zoho は、複数の ManageEngine 製品に影響を及ぼす深刻なセキュリティ脆弱性を修正するよう、顧客に促している。月曜日に Zoho は、「深刻なセキュリティ脆弱性が検出された」と記した、セキュリティ・アドバイザリを公開した。この脆弱性 CVE-2022-47523 は、SQL インジェクションの脆弱性であり、同社の Password Manager Pro secure vault/PAM360 privileged access management software/Access Manager Plus privileged session management solution などに存在する。

この脆弱性の悪用に成功した攻撃者は、バックエンド・データベースに対して未認証でアクセスできるようになり、データベースのテーブル/エントリにアクセスするためのカスタム・クエリの実行が可能になる。

Zoho は、「我々は、バックエンド・データベースへの未認証アクセスを、すべてのユーザーに許可してしまう、内部フレームワークに存在する SQL インジェクション脆弱性 CVE-2022-47523 を発見した。この脆弱性の重大性を考慮し、PAM360/Password Manager Pro/Access Manager Plus を、最新ビルドに直ちにアップグレードすることを強く推奨する」と警告している。

Zoho は、特殊文字をエスケープし、さらに、適切な検証を追加することで、この問題を 2022年12月に修正したと述べている。

一連のアップグレードを実施するためには、PAM360/Password Manager Pro/Access Manager Plus の、最新アップグレード・パックをダウンロードする必要がある。続いて、各製品のアップグレード・パック・ページに掲載されている、アップグレードの説明に従って、最新のビルドを導入してほしい。

Product NameAffected VersionsFixed VersionFixed On
Password Manager Pro12200 and below1221030-12-2022
PAM3605800 and below580128-12-2022
Access Manager Plus4308 and below430929-12-2022

CISA は、2022年9月に、PAM360/Access Manager Plus/Password Manager Pro などをホストしている未パッチ・サーバにおいて、リモート・コード実行の攻撃に悪用される、ManageEngine の別の深刻な脆弱性 CVE-2022-35405 について警告を発している。それにより、米国の連邦民間行政機関 (FCEB) には3週間の猶予のうちに、脆弱性が存在するシステムにパッチを適用し、悪用からネットワークを保護することが求められている。

Zoho ManageEngine サーバは、近年において常に狙われている。たとえば Desktop Central インスタンスは、2020年7月からハッキングされ、侵入を許してしまった組織へのネットワークへのアクセス権が、ハッキング・フォーラムで販売されるようになってしまった。

また、2021年8月〜10月には、国家に支援されたハッカーたちが、中国由来のハッキング・グループ APT27 と同様の戦術とツールを使って、ManageEngine サーバを標的としてきた。

FBI と CISA は、これらの大規模な攻撃キャンペーンを受けて、それらの APT アクターが ManageEngine の脆弱性を悪用して、重要インフラ組織のネットワークをバックドア化することを、2つの共同勧告 [12] で警告している。

この脆弱性 CVE-2022-47523 ですが、お隣のキュレーション・チームに確認したところ、2023年1月13日にレポートをアップしたとのことです。2022年の Zoho ManageEngine に関連する脆弱性ですが、以下のような記事をポストしています。

1/17:Zoho ManageEngine Desktop Central の脆弱性 CVE-2021-44757 が FIX
7/1:Zoho ManageEngine ADAudit Plus のバグ:Active Directory 侵害にいたる
9/23:CISA 警告 22/09/22:ManageEngine 脆弱性 CVE-2022-35405 の悪用

よろしければ、ご参照ください。

%d bloggers like this: