IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を

Zohoが展開するIT管理ソリューションブランド「ManageEngine」の複数製品に深刻な脆弱性「CVE-2023-35785」が明らかとなった。アップデートにて修正済みだという。

「CVE-2023-35785」は、二要素認証をバイパスすることが可能となる脆弱性。バグ報奨金プログラムを通じて報告されたという。悪用されると被害者のアカウントを乗っ取られるおそれがある。「ADManager Plus」「ServiceDesk Plus」「M365 Manager Plus」「ADManager Plus」をはじめ、17製品が影響を受ける。

同社は脆弱性の重要度を「高（High）」と評価。各製品に対して6月後半に修正バージョンをリリース済みで、利用者に対して最新ビルドへ更新することを強く推奨している。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、8月28日に同脆弱性を追加した。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

対象となる製品は以下のとおり。ただし、クラウドサービスについては影響を受けない。

Active Directory 360
ADAudit Plus
ADManager Plus
Asset Explorer
Cloud Security Plus
Data Security Plus
Eventlog Analyzer
Exchange Reporter Plus
Log360
Log360 UEBA
M365 Manager Plus
M365 Security Plus
Recovery Manager Plus
ServiceDesk Plus
ServiceDesk Plus MSP
SharePoint Manager Plus
Support Center Plus

（Security NEXT - 2023/09/07 ） ツイート

PR

関連記事

Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
小中20校で児童生徒の個人情報を同意なしにPTAへ提供 - 静岡市
サイバーセキュリティ総務大臣奨励賞、個人2名と2団体が受賞
複数Chatworkアカウントが侵害、不正な請求書送信も - 鉄道設備機器メーカー
電子カルテで知人情報を不正取得、漏洩した病院職員を処分 - 青森県
手術室のタブレット端末が所在不明 - 荻窪病院
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
業務用チャットアカウントに不正アクセス - 東京計器
デンソー海外2拠点にサイバー攻撃 - 情報流出の可能性、生産に影響なし