IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を

Zohoが展開するIT管理ソリューションブランド「ManageEngine」の複数製品に深刻な脆弱性「CVE-2023-35785」が明らかとなった。アップデートにて修正済みだという。

「CVE-2023-35785」は、二要素認証をバイパスすることが可能となる脆弱性。バグ報奨金プログラムを通じて報告されたという。悪用されると被害者のアカウントを乗っ取られるおそれがある。「ADManager Plus」「ServiceDesk Plus」「M365 Manager Plus」「ADManager Plus」をはじめ、17製品が影響を受ける。

同社は脆弱性の重要度を「高（High）」と評価。各製品に対して6月後半に修正バージョンをリリース済みで、利用者に対して最新ビルドへ更新することを強く推奨している。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、8月28日に同脆弱性を追加した。共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」とレーティングしている。

対象となる製品は以下のとおり。ただし、クラウドサービスについては影響を受けない。

Active Directory 360
ADAudit Plus
ADManager Plus
Asset Explorer
Cloud Security Plus
Data Security Plus
Eventlog Analyzer
Exchange Reporter Plus
Log360
Log360 UEBA
M365 Manager Plus
M365 Security Plus
Recovery Manager Plus
ServiceDesk Plus
ServiceDesk Plus MSP
SharePoint Manager Plus
Support Center Plus

（Security NEXT - 2023/09/07 ） ツイート

PR

関連記事

都で宅建業者の始末書などが所在不明 - 行政処分手続き時に判明
顧客情報含む画像をインスタ投稿 - 削除から約半年後に拡散を確認
LLM基盤「SGLang」に脆弱性 - API外部公開で高リスク
「JVN iPedia」の脆弱性登録、微減するも4四半期連続で1万件超え
米当局、脆弱性8件の悪用確認 - 4件は3日以内の緊急対応求める
「SKYSEA Client View」などに権限昇格の脆弱性 - 修正を呼びかけ
松山市営住宅の入居者情報が流出 - 指定管理者がランサム被害
摂南大のサイトが一部改ざん、原因を調査中
顧客情報のCSVファイルを委託先に誤送信 - 東急リゾーツ＆ステイ
「Junos OS」などに脆弱性 - 運用スクリプトを許可する環境に影響