IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を

Zohoが展開するIT管理ソリューションブランド「ManageEngine」の複数製品に深刻な脆弱性「CVE-2023-35785」が明らかとなった。アップデートにて修正済みだという。

「CVE-2023-35785」は、二要素認証をバイパスすることが可能となる脆弱性。バグ報奨金プログラムを通じて報告されたという。悪用されると被害者のアカウントを乗っ取られるおそれがある。「ADManager Plus」「ServiceDesk Plus」「M365 Manager Plus」「ADManager Plus」をはじめ、17製品が影響を受ける。

同社は脆弱性の重要度を「高（High）」と評価。各製品に対して6月後半に修正バージョンをリリース済みで、利用者に対して最新ビルドへ更新することを強く推奨している。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、8月28日に同脆弱性を追加した。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

対象となる製品は以下のとおり。ただし、クラウドサービスについては影響を受けない。

Active Directory 360
ADAudit Plus
ADManager Plus
Asset Explorer
Cloud Security Plus
Data Security Plus
Eventlog Analyzer
Exchange Reporter Plus
Log360
Log360 UEBA
M365 Manager Plus
M365 Security Plus
Recovery Manager Plus
ServiceDesk Plus
ServiceDesk Plus MSP
SharePoint Manager Plus
Support Center Plus

（Security NEXT - 2023/09/07 ） ツイート

PR

関連記事

イベント案内メールで誤送信、参加者のメアド流出 - 氷見市
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
従業員アカウントが不正利用、フィッシング踏み台に - 常石G
通信機器経由でサイバー攻撃、侵害サーバに顧客情報 - 日本プラスト
海外グループ会社でインシデント、影響を調査 - 電通グループ
2月に「セキュキャン2026フォーラム」開催 - 活動成果を募集
「CSIRTスタータキット」の改訂版を公開 - 日本シーサート協議会
柏崎刈羽原発説明会の情報公開文書でマスキング漏れ - 新潟県
「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開