「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを
Zohoは、今回判明した「CVE-2022-47966」についてバグバウンティプログラムを通じての報告を受けたものと説明。
CVE番号は2022年12月26日採番されているが、2022年10月後半から11月前半にかけてリリースしたアップデートでサードパーティ製モジュールを更新し、24製品における脆弱性を解消したとしている。
同脆弱性について解析したHorizon3.aiは、同脆弱性の再現に成功。容易に悪用が可能であるとの見方を示した。
現段階でシングルサインオンを使用していない場合も、一部製品は過去に利用したことがあれば影響を受けることから、脆弱性の悪用を確実に防ぐため、アップデートを行うよう注意を呼びかけた。また一部製品に関して、ログファイルより侵害の有無が確認できる方法を紹介している。
「CVE-2022-47966」の影響を受けるManageEngine製品は以下のとおり。
ADAudit Plus
ADManager Plus
ADSelfService Plus
Access Manager Plus
Active Directory 360
Analytics Plus
Application Control Plus
Asset Explorer
Browser Security Plus
Device Control Plus
Endpoint Central
Endpoint Central MSP
Endpoint DLP
Key Manager Plus
OS Deployer
PAM 360
Password Manager Pro
Patch Manager Plus
Remote Access Plus
Remote Monitoring and Management(RMM)
ServiceDesk Plus
ServiceDesk Plus MSP
SupportCenter Plus
Vulnerability Manager Plus
(Security NEXT - 2023/01/18 )
ツイート
PR
関連記事
一部サーバでランサム被害、データ転送量は限定的 - HAホールディングス
「Zabbix」のWindows向けエージェントに権限昇格の脆弱性
データ分析ツール「Apache Kylin」に認証回避の脆弱性
「Oracle E-Business Suite」が標的に - 更新や侵害状況の確認を
Red HatのGitLab環境が侵害 - サプライチェーンへの影響なし
先週注目された記事(2025年9月28日〜2025年10月4日)
【特別企画】国内外専門家が集うインテリジェンスサミット - 非公開の最新脅威情報も
ランサム被害を公表、手作業で受注対応 - アサヒグループHD
監査関連資料を誤送信、メアド入力ミスで - 三重県
ランサム被害で学生の個人情報流出を確認 - 宮城学院
