「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを

Zohoは、今回判明した「CVE-2022-47966」についてバグバウンティプログラムを通じての報告を受けたものと説明。

CVE番号は2022年12月26日採番されているが、2022年10月後半から11月前半にかけてリリースしたアップデートでサードパーティ製モジュールを更新し、24製品における脆弱性を解消したとしている。

同脆弱性について解析したHorizon3.aiは、同脆弱性の再現に成功。容易に悪用が可能であるとの見方を示した。

現段階でシングルサインオンを使用していない場合も、一部製品は過去に利用したことがあれば影響を受けることから、脆弱性の悪用を確実に防ぐため、アップデートを行うよう注意を呼びかけた。また一部製品に関して、ログファイルより侵害の有無が確認できる方法を紹介している。

「CVE-2022-47966」の影響を受けるManageEngine製品は以下のとおり。

ADAudit Plus
ADManager Plus
ADSelfService Plus
Access Manager Plus
Active Directory 360
Analytics Plus
Application Control Plus
Asset Explorer
Browser Security Plus
Device Control Plus
Endpoint Central
Endpoint Central MSP
Endpoint DLP
Key Manager Plus
OS Deployer
PAM 360
Password Manager Pro
Patch Manager Plus
Remote Access Plus
Remote Monitoring and Management（RMM）
ServiceDesk Plus
ServiceDesk Plus MSP
SupportCenter Plus
Vulnerability Manager Plus

（Security NEXT - 2023/01/18 ） ツイート

PR

関連記事

「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
自治体委託イベントの申込フォームに不備 - 個人情報が閲覧可能に
サイバー攻撃被害が判明、内部情報へアクセスされた痕跡 - BBT
個人情報含む記憶媒体紛失、教諭2人を懲戒処分 - 北海道
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局