Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米政府、「ManageEngine」の脆弱性に対する攻撃に注意喚起

Zohoが提供するIT資産管理製品ブランド「ManageEngine」の24製品に深刻な脆弱性が明らかとなった問題で、積極的な悪用が確認されているとして米政府が注意喚起を行った。

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が、「悪用が確認された脆弱性カタログ(KEV)」に「CVE-2022-47966」を追加したもの。

同脆弱性は、古い「Apache Santuario」に起因する脆弱性で、脆弱性の詳細や実証コードなども公表されている。

24製品に影響があり、Zohoでは2022年10月から11月にかけてアップデートをリリースしたが、脆弱性の修正について言及していなかった。

悪用されるとリモートよりコードを実行されるおそれがあり、2023年1月に入ってから悪用も観測されている。パッチリリース後にすみやかに更新していなかった場合は、単にアップデートだけでなく、侵害された形跡がないか確認することも求められる。

(Security NEXT - 2023/01/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

点訳ボランティア宛の案内メールで誤送信 - 堺市の指定管理者
広告業務の委託先で電子媒体を紛失 - 国交省
「配達できない」などとうそ - ヤマト運輸のフィッシングに注意
偽通販サイトの相談倍増 - 「大幅な値引き」に警戒を
2022年4Qのセキュ相談 - 「偽警告」「不正ログイン」関連が増加
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
都委託先でメール誤送信 - セミナー申込者のメアド流出
児童の遅刻欠席情報、職員間のメールを保護者に誤送信 - 八代市