「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを
Zohoは、今回判明した「CVE-2022-47966」についてバグバウンティプログラムを通じての報告を受けたものと説明。
CVE番号は2022年12月26日採番されているが、2022年10月後半から11月前半にかけてリリースしたアップデートでサードパーティ製モジュールを更新し、24製品における脆弱性を解消したとしている。
同脆弱性について解析したHorizon3.aiは、同脆弱性の再現に成功。容易に悪用が可能であるとの見方を示した。
現段階でシングルサインオンを使用していない場合も、一部製品は過去に利用したことがあれば影響を受けることから、脆弱性の悪用を確実に防ぐため、アップデートを行うよう注意を呼びかけた。また一部製品に関して、ログファイルより侵害の有無が確認できる方法を紹介している。
「CVE-2022-47966」の影響を受けるManageEngine製品は以下のとおり。
ADAudit Plus
ADManager Plus
ADSelfService Plus
Access Manager Plus
Active Directory 360
Analytics Plus
Application Control Plus
Asset Explorer
Browser Security Plus
Device Control Plus
Endpoint Central
Endpoint Central MSP
Endpoint DLP
Key Manager Plus
OS Deployer
PAM 360
Password Manager Pro
Patch Manager Plus
Remote Access Plus
Remote Monitoring and Management(RMM)
ServiceDesk Plus
ServiceDesk Plus MSP
SupportCenter Plus
Vulnerability Manager Plus
(Security NEXT - 2023/01/18 )
ツイート
PR
関連記事
複数団体宛てのメールに個人メアドを誤掲載 - 埼玉県
ノベルティ送付時に異なる宛名、宛先データに不備 - 東京都
小学校で児童の個人情報含む指導計画を紛失 - 柏市
ランサム被害で株主や従業員情報が流出した可能性 - テイン
SMTPサーバで設定不備、約17万件のスパム送信 - 奈良女大
保険料の架空請求メール出回る - 電子決済アプリ誘導に警戒を
一部利用者で不正ログイン、注意を喚起 - 時事通信フォト
ファイルサーバ「goshs」に認証回避など複数脆弱性 - 修正版を公開
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「第一生命」かたるフィッシングメールに注意 - 「5000円相当プレゼント」と誘導
