Патчи Zoho активно использовали критическую ошибку ADSelfService Plus

59
Women in Games открывают азиатское отделение

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупреждает, что хакеры используют критическую уязвимость в решении Zoho ManageEngine ADSelfService Plus для управления паролями, которое позволяет им получить контроль над системой.

ADSelfService Plus нацелен на более крупные организации, которым требуется интегрированное самостоятельное управление паролями и решение единого входа для Active Directory и облачных приложений.

Обнаружены эксплойты в дикой природе
Проблема безопасности обозначена как CVE-2021-40539 . Это считается критическим, поскольку он может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код в уязвимой системе.

Zoho опубликовал совет по безопасности, чтобы объявить, что обновление, исправляющее ошибку, в настоящее время доступно для ADSelfService Plus.

На неделе уведомлений о безопасности компания заявляет, что «замечает признаки использования этой уязвимости» в дикой природе.

Однако в предупреждении от CISA четко говорится об этом, поскольку агентство сообщает, что «CVE-2021-40539 был обнаружен в эксплойтах в дикой природе».

На данный момент информация об уязвимости скудна. Рейтинг серьезности не рассчитывался Национальным институтом стандартов и технологий США, но Зохо отмечает, что проблема является критической:

«Уязвимость обхода аутентификации, затрагивающая URL-адреса REST API, может привести к удаленному выполнению кода», — заявляет компания.

Организациям со сборками ADSelfService Plus ниже 6114 настоятельно рекомендуется применить последнее обновление от разработчика, доступное с помощью пакета обновления.

CVE-2021-40539 — пятая критическая уязвимость, о которой сообщалось для Zoho ManageEngine ADSelfService Plus в этом году:

  • CVE-2021-37421 — обход ограничения доступа к порталу администратора в Zoho ManageEngine ADSelfService Plus 6103 и более ранних версиях
  • CVE-2021-37417 — обход CAPTCHA из-за неправильной проверки параметров в Zoho ManageEngine ADSelfService Plus build 6103 и более ранних версиях
  • CVE-2021-33055 — удаленное выполнение кода без аутентификации в неанглийских версиях, влияющих на Zoho ManageEngine ADSelfService Plus через 6102
  • CVE-2021-28958 — удаленное выполнение кода без аутентификации при смене пароля во всех сборках Zoho ManageEngine ADSelfService Plus до 6101

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии