Zoho urges admins to patch critical ManageEngine bug immediately
2023/01/04 BleepingComputer — ビジネスソフト・プロバイダーである Zoho は、複数の ManageEngine 製品に影響を及ぼす深刻なセキュリティ脆弱性を修正するよう、顧客に促している。月曜日に Zoho は、「深刻なセキュリティ脆弱性が検出された」と記した、セキュリティ・アドバイザリを公開した。この脆弱性 CVE-2022-47523 は、SQL インジェクションの脆弱性であり、同社の Password Manager Pro secure vault/PAM360 privileged access management software/Access Manager Plus privileged session management solution などに存在する。
この脆弱性の悪用に成功した攻撃者は、バックエンド・データベースに対して未認証でアクセスできるようになり、データベースのテーブル/エントリにアクセスするためのカスタム・クエリの実行が可能になる。
Zoho は、「我々は、バックエンド・データベースへの未認証アクセスを、すべてのユーザーに許可してしまう、内部フレームワークに存在する SQL インジェクション脆弱性 CVE-2022-47523 を発見した。この脆弱性の重大性を考慮し、PAM360/Password Manager Pro/Access Manager Plus を、最新ビルドに直ちにアップグレードすることを強く推奨する」と警告している。
Zoho は、特殊文字をエスケープし、さらに、適切な検証を追加することで、この問題を 2022年12月に修正したと述べている。
一連のアップグレードを実施するためには、PAM360/Password Manager Pro/Access Manager Plus の、最新アップグレード・パックをダウンロードする必要がある。続いて、各製品のアップグレード・パック・ページに掲載されている、アップグレードの説明に従って、最新のビルドを導入してほしい。
| Product Name | Affected Versions | Fixed Version | Fixed On |
| Password Manager Pro | 12200 and below | 12210 | 30-12-2022 |
| PAM360 | 5800 and below | 5801 | 28-12-2022 |
| Access Manager Plus | 4308 and below | 4309 | 29-12-2022 |
CISA は、2022年9月に、PAM360/Access Manager Plus/Password Manager Pro などをホストしている未パッチ・サーバにおいて、リモート・コード実行の攻撃に悪用される、ManageEngine の別の深刻な脆弱性 CVE-2022-35405 について警告を発している。それにより、米国の連邦民間行政機関 (FCEB) には3週間の猶予のうちに、脆弱性が存在するシステムにパッチを適用し、悪用からネットワークを保護することが求められている。
Zoho ManageEngine サーバは、近年において常に狙われている。たとえば Desktop Central インスタンスは、2020年7月からハッキングされ、侵入を許してしまった組織へのネットワークへのアクセス権が、ハッキング・フォーラムで販売されるようになってしまった。
また、2021年8月〜10月には、国家に支援されたハッカーたちが、中国由来のハッキング・グループ APT27 と同様の戦術とツールを使って、ManageEngine サーバを標的としてきた。
FBI と CISA は、これらの大規模な攻撃キャンペーンを受けて、それらの APT アクターが ManageEngine の脆弱性を悪用して、重要インフラ組織のネットワークをバックドア化することを、2つの共同勧告 [1, 2] で警告している。
この脆弱性 CVE-2022-47523 ですが、お隣のキュレーション・チームに確認したところ、2023年1月13日にレポートをアップしたとのことです。2022年の Zoho ManageEngine に関連する脆弱性ですが、以下のような記事をポストしています。
1/17:Zoho ManageEngine Desktop Central の脆弱性 CVE-2021-44757 が FIX
7/1:Zoho ManageEngine ADAudit Plus のバグ:Active Directory 侵害にいたる
9/23:CISA 警告 22/09/22:ManageEngine 脆弱性 CVE-2022-35405 の悪用
よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.