商业软件提供商 Zoho 已敦促客户修补影响多个 ManageEngine 产品的严重安全漏洞。
Zoho周一 警告说:“这个安全公告是为了让你知道检测到一个严重的安全漏洞。”
该错误被跟踪为 CVE-2022-47523,是在该公司的 Password Manager Pro 安全保管库、PAM360 特权访问管理软件和 Access Manager Plus 特权会话管理解决方案中发现的 SQL 注入漏洞。
成功的利用为攻击者提供了对后端数据库的未经身份验证的访问权限,并允许他们执行自定义查询以访问数据库表条目。
“我们在我们的内部框架中发现了一个 SQL 注入漏洞 (CVE-2022-47523),该漏洞将授予所有 [..] 用户未经身份验证的后端数据库访问权限,”Zoho说。
该公司补充 说,“鉴于此漏洞的严重性,强烈建议客户立即升级到最新版本的 PAM360、Password Manager Pro 和 Access Manager Plus。”
Zoho 说它上个月通过转义特殊字符和添加适当的验证解决了这个问题。
要升级您的安装,您应该首先为您的产品下载最新的升级包(PAM360、Password Manager Pro、Access Manager Plus)。
下一步是根据每个产品的升级包页面上提供的升级说明部署最新版本。
| 产品名称 | 受影响的版本 | 固定版 | 固定在 |
| 密码管理器专业版 | 12200及以下 | 12210 | 30-12-2022 |
| PAM360 | 5800及以下 | 5801 | 28-12-2022 |
| 访问管理器加 | 4308及以下 | 4309 | 29-12-2022 |
9 月,CISA警告称另一个严重的 ManageEngine 漏洞 (CVE-2022-35405) 在攻击中被利用以在运行 PAM360、Access Manager Plus 和 Password Manager Pro 的未修补服务器上获得远程代码执行。
美国联邦民事行政分支机构 (FCEB) 机构有三周的时间来修补易受攻击的系统,并确保他们的网络受到保护,免受利用企图。
Zoho ManageEngine 服务器近年来一直受到攻击,例如 Desktop Central 实例遭到黑客攻击,从 2020 年 7 月开始在黑客论坛上出售对被破坏组织网络的访问权。
在 2021 年 8 月至 2021 年 10 月期间,民族国家黑客还使用类似于与中国有联系的 APT27 黑客组织的策略和工具,将 ManageEngine 服务器作为目标。
在这些广泛的攻击活动之后,FBI 和 CISA 发布了两个联合公告 [ 1、2 ],警告国家资助的攻击者利用 ManageEngine 漏洞对关键基础设施组织的网络进行后门。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Zoho敦促管理员立即修补严重的ManageEngine错误
