聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周四,美国网络安全和基础设施安全局 (CISA) 提醒称,网络攻击活动正在利用最近修复的一个Zoho ManageEngine 漏洞 (CVE-2022-35405)。
Zoho 公司在2014年收购企业IT软件ManageEngine,后者未身份和访问、端点、企业服务、安全信息和实践以及IT运营提供管理能力。
CVE-2022-35405的CVSS评分为9.8,是一个远程代码执行漏洞,影响 ManageEngine Password Manager Pro 12101之前、ManageEngine PAM360 5510之前以及ManageEngine Access Manager Plus 4303之前的版本。
攻击者无需验证即可利用位于ManageEngine Password Manager Pro和ManageEngine PAM360中的漏洞,不过需要认证才可利用位于ManageEngine Access Manager Plus中的漏洞。
Zoho 公司已在今年6月份发布补丁修复该漏洞,当时它提醒称网络已存在相关的 PoC 验证,“上述漏洞的 PoC 利用已公开。我们强烈建议客户立即升级 Password Manager Pro、PAM360和Access Manager Plus实例”。
发现该漏洞的研究员在本月初发布博客文章,说明了自己的研究成果。
本周四,CISA将该漏洞增加到“已知已遭利用漏洞”分类列表中,表示已发现遭活跃利用的证据。CISA表示位于该列表中的漏洞一般被用于获得初始访问权限,表示联邦机构应当在10月13日之前应用补丁。
按照绑定运营指令 (BOD) 22-01的要求,联邦机构需要在各自环境中解决这些已知漏洞,不过CISA提到所有组织机构均应查看该列表并优先及时修复。
https://www.securityweek.com/cisa-warns-zoho-manageengine-rce-vulnerability-exploitation
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):CISA提醒修复Zoho ManageEngine RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论