image

Kritieke kwetsbaarheid in Zoho ManageEngine-producten actief misbruikt

maandag 23 januari 2023, 10:08 door Redactie, 5 reacties

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren.

Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Een aantal dagen geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid, zo stelt securitybedrijf Rapid7.

Installaties van ManageEngine lopen alleen risico als SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Gezien de rol die ManageEngine-producten binnen organisaties spelen worden die opgeroepen om de update zo snel mogelijk te installeren. Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op Password Manager Pro in en worden daarmee miljoenen wachtwoorden beheerd.

PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren.

Reacties (5)
23-01-2023, 10:32 door Anoniem
Ojee windows supply chain weer. Hoop dat dit beter afloopt dan SolarWinds
23-01-2023, 11:16 door Anoniem
Zoho ManageEngine heeft een enorm laconieke houding rond security. Java libraries worden slecht tot niet geüpdatet. vragen rond security worden slecht of zeer laat beantwoord.
Wij zijn inmiddels aan het kijken naar andere producten.
23-01-2023, 12:39 door _R0N_
Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code execution due to use of Apache xmlsec (aka XML Security for Java) 1.4.1, because the xmlsec XSLT features, by design in that version, make the application responsible for certain security protections, and the ManageEngine applications did not provide those protections.

meh
23-01-2023, 14:14 door _R0N_
Door Anoniem: Zoho ManageEngine heeft een enorm laconieke houding rond security. Java libraries worden slecht tot niet geüpdatet. vragen rond security worden slecht of zeer laat beantwoord.
Wij zijn inmiddels aan het kijken naar andere producten.

Welke producten kijk je naar?
Zelf gebruik ik geen ManageEngine, mede om de door jou aangedragen bezwaren, maar alternatieven zijn er maar weinig.
04-02-2023, 16:57 door Anoniem
Patch Manager Plus wordt idd ook door Zoho uitgegeven, maar hier betreft het versie 10.1.2220.17 en lager, terwijl reeds versie 11 uitgegeven is. Zie link https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
Via endpoint technical support mailing snelle oplossingen ingeval van problemen, ook met aanleveren third party software.
Het blijft een hulpmiddel voor patching, eindgebruiker blijft verantwoordelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.