Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を

Zohoが展開するIT管理ソリューションブランド「ManageEngine」の複数製品に深刻な脆弱性「CVE-2023-35785」が明らかとなった。アップデートにて修正済みだという。

「CVE-2023-35785」は、二要素認証をバイパスすることが可能となる脆弱性。バグ報奨金プログラムを通じて報告されたという。悪用されると被害者のアカウントを乗っ取られるおそれがある。「ADManager Plus」「ServiceDesk Plus」「M365 Manager Plus」「ADManager Plus」をはじめ、17製品が影響を受ける。

同社は脆弱性の重要度を「高(High)」と評価。各製品に対して6月後半に修正バージョンをリリース済みで、利用者に対して最新ビルドへ更新することを強く推奨している。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、8月28日に同脆弱性を追加した。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。

対象となる製品は以下のとおり。ただし、クラウドサービスについては影響を受けない。

Active Directory 360
ADAudit Plus
ADManager Plus
Asset Explorer
Cloud Security Plus
Data Security Plus
Eventlog Analyzer
Exchange Reporter Plus
Log360
Log360 UEBA
M365 Manager Plus
M365 Security Plus
Recovery Manager Plus
ServiceDesk Plus
ServiceDesk Plus MSP
SharePoint Manager Plus
Support Center Plus

(Security NEXT - 2023/09/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

チャレンジ農業支援事業の委託先が携帯電話を紛失 - 東京都
北米法人で情報流出を確認、ランサム影響か - アルプスアルパイン
セキュリティ診断に探索的テストを組みあわせた「IoT機器診断サービス」
攻撃者を疑似体験し、セキュリティの重要性を学ぶボードゲーム - IPA
「Splunk Enterprise」に複数の脆弱性 - アップデートで修正
Palo Alto Networksの「PAN-OS」や「Cortex XDR」に脆弱性
「Craft CMS」に脆弱性、攻撃容易で影響大 - 7月の更新で修正済み
メール誤送信、育児セミナー参加予定者のメアド流出 - 大阪市
「WordPress」のセキュリティ対策プラグインを公開 - クラウドセキュア
他自治体職員のなりすまし電話にだまされ個人情報を漏洩 - 鹿児島市