De Amerikaanse overheid waarschuwt organisaties en bedrijven voor actief misbruik van een kritieke kwetsbaarheid in de software van ManageEngine. Het beveiligingslek (CVE-2022-35405) is aanwezig in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus en maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand code op het systeem uit te voeren. Alleen in het geval van Access Manager Plus moet een aanvaller zich eerst bij het aangevallen systeem kunnen authenticeren.

Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren.

Een kwetsbaarheid in de drie producten maakt het mogelijk voor een aanvaller om op afstand code op het onderliggende systeem uit te voeren. Gezien de rol die de oplossingen binnen organisaties spelen kan dit grote gevolgen hebben. Daarnaast zijn kwetsbaarheden in ManageEngine vaker het doelwit van aanvallen geweest. Het beveiligingslek werd eind juli door ManageEngine verholpen.

In het beveiligingsbulletin waarschuwde ManageEngine dat er een proof-of-concept exploit online beschikbaar was en werden klanten opgeroepen de update direct te installeren. Nu laat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) weten dat aanvallers actief misbruik van de kwetsbaarheid maken. Verdere details zijn niet gegeven, behalve dat Amerikaanse overheidsinstanties die met de betreffende oplossingen werken de update voor 13 oktober geïnstalleerd moeten hebben.