Zoho ManageEngine

Advarer om udnyttelse af fejl Zoho ManageEngine

Eksperter advarer om trusselsaktører, der aktivt udnytter den kritiske CVE-2022-47966 (CVSS-score: 9,8) fejl i Zoho ManageEngine. Det skriver Security Affairs på baggrund af en rapport fra Bitdefender Labs, der har set en stigning i angreb fra 20. januar.

Stigningen i aktivitet skete kort tid efter at researchere fra Horizon3 udgav en proof-of-concept udnyttelse til CVE-2022-47966 sammen med teknisk analyse. Og straks derefter tilføjede CISA sårbarheden til sit katalog over kendte udnyttede sårbarheder.  

Dansk

Alvorlig SQL-injektionssårbarhed i Zoho-produkt

Zoho har i sidste uge udgivet rettelser til en alvorlig SQL-injektionssårbarhed i ManageEngine Password Manager Pro, PAM360 og Access Manager Plus. Det skriver Security Week m.fl.

Sårbarheden har id'et CVE-2022-47523, og den gør det muligt for angribere for at få adgang til informationer i databaser. Sårbarheden blev løst med udgivelsen af Password Manager Pro version 12210, PAM360 version 5801 og Access Manager Plus version 4309.

Dansk

ManageEngine lukker alvorlige sikkerhedshuller

Sikkerhedsforskere fra firmaet Digital Defense har opdaget seks hidtil ukendte sårbarheder i ManageEngine. Det er et sæt værktøjer til system management, som især anvendes i større it-installationer.

Nogle af sårbarhederne lader en angriber uploade filer og afvikle skadelig programkode. Andre giver mulighed for SQL-indsætning eller adgang til API-nøgler.

Sårbarhederne er:

Dansk

ManageEngine fjerner syv sårbarheder

ManageEngine-programmerne ServiceDesk Plus, Service Plus MSP, OpManager, Firewall Analyzer, Network Configuration Manager, OpUtils og NetFlow Analyzer er sårbare. Producenten Zoho har udsendt opdateringer, der lukker sikkerhedshullerne.

En sårbarhed i ServiceDesk Plus lader en angriber uploade og køre en fil på systemet. Dermed kan angriberen få fuld kontrol over systemet.

Andre sårbarheder tillader SQL-indsætning, så angribere kan afvikle databasekommandoer.

Anbefaling

Installer de opdaterede versioner af ManageEngine-programmerne.

Dansk
Abonnér på RSS - Zoho ManageEngine