「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを
Zohoは、今回判明した「CVE-2022-47966」についてバグバウンティプログラムを通じての報告を受けたものと説明。
CVE番号は2022年12月26日採番されているが、2022年10月後半から11月前半にかけてリリースしたアップデートでサードパーティ製モジュールを更新し、24製品における脆弱性を解消したとしている。
同脆弱性について解析したHorizon3.aiは、同脆弱性の再現に成功。容易に悪用が可能であるとの見方を示した。
現段階でシングルサインオンを使用していない場合も、一部製品は過去に利用したことがあれば影響を受けることから、脆弱性の悪用を確実に防ぐため、アップデートを行うよう注意を呼びかけた。また一部製品に関して、ログファイルより侵害の有無が確認できる方法を紹介している。
「CVE-2022-47966」の影響を受けるManageEngine製品は以下のとおり。
ADAudit Plus
ADManager Plus
ADSelfService Plus
Access Manager Plus
Active Directory 360
Analytics Plus
Application Control Plus
Asset Explorer
Browser Security Plus
Device Control Plus
Endpoint Central
Endpoint Central MSP
Endpoint DLP
Key Manager Plus
OS Deployer
PAM 360
Password Manager Pro
Patch Manager Plus
Remote Access Plus
Remote Monitoring and Management(RMM)
ServiceDesk Plus
ServiceDesk Plus MSP
SupportCenter Plus
Vulnerability Manager Plus
(Security NEXT - 2023/01/18 )
ツイート
PR
関連記事
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
顧客などへのメルマガで誤送信 - 資格講座スクール
患者情報含む書類紛失、ISO審査前の確認で判明 - 浜医大病院
「ChatGPT」のフィッシング攻撃 - アカウント停止と不安煽る
委託先で個人情報を誤送信、半年後に発覚 - 長崎市
脅威情報共有基盤「MISP」がアップデート - 2件の脆弱性を修正
「Apache Struts」にDoS脆弱性 - ディスク領域枯渇のおそれ
リモートアクセス経由で侵害、従業員情報が流出か - 三菱製紙
ランサム被害で個人情報が流出した可能性 - オオサキメディカル
組織向けコラボツール「Mattermost」に脆弱性 - 「クリティカル」も
