CVE-2024-0252 (CVSS 9.9): Zoho ManageEngine ADSelfService RCE Vulnerability
2024/01/11 SecurityOnline — Active Directory とクラウド・アプリケーションのための、統合されたセルフサービス・パスワード管理とシングルサインオン機能を提供する、Zoho の ManageEngine ADSelfService Plus の機能が侵害された。この新たに発見された脆弱性への、IT 専門家による早急な対応が求められている。
セキュリティ研究者の Joe Zhoy により特定された脆弱性 CVE-2024-0252 が、深刻なセキュリティ・リスクをもたらしている。この脆弱性の悪用に成功した認証済みの攻撃者は、影響を受けるソフトウェアを実行しているデバイス上で、リモートからのコード実行を可能にする。
この脆弱性はロードバランサー・コンポーネント内に存在するが、アクティブなロードバランサーを持たないシステムにも脅威をもたらすという、珍しいものである。この脆弱性を悪用する攻撃者は、特別に細工されたリクエストを送信することで、システム上で任意のコード実行を可能にする。
Zoho は、 「ManageEngine ADSelfService Plus に関するセキュリティ・アドバイザリでは、ADSelfService Plus のロードバランサー・コンポーネントにおける、認証されたリモートコード実行の脆弱性について説明している。このロードバランサーの設定に関係なく、すべての ADSelfService Plus のインストールに脆弱性が存在する。その結果として、悪用に成功した認証済の攻撃者は、ADSelfService Plus がインストールされているマシン上でリモートコードを実行」と述べている。
脆弱性 CVE-2024-0252 の CVSSv3.1 値は 9.9 であり、この脆弱性は高リスクに分類される。このような高いスコアは、緊急介入の必要性を強調している。
これを受けて Zoho は、1月10日にリリースされたアップデートにより、ビルド 6402 を速やかに発行した。この迅速な対応は、ユーザーのセキュリティに対する、Zoho のコミットメントを反映したものである。デジタル脅威が進化する中、タイムリーなソフトウェア・アップデートの重要性が強調される。
ManageEngine に脆弱性 CVE-2024-0252 とのことですが、お隣のキュレーション・チームも、1月16日付でレポートを上げているとのことでした。このところ、ManageEngine は平和であり、2023年8月に脆弱性 CVE-2022-47966 が発生し、北朝鮮の Lazarus が悪用したというインシデント依頼のトピックとなっています。よろしければ、 ManageEngine で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.