美国CISA安全警告,Zoho密码管理软件零日漏洞正在野利用

美国CISA发布安全警告,Zoho密码管理软件零日漏洞正广泛在野利用

美国网络安全和基础设施安全局 (CISA) 周三发布安全警告称,一个影响美国卓豪(ZOHO)公司旗下 Zoho ManageEngine ADSelfService Plus 终端用户密码管理软件的零日漏洞目前正被在野广泛利用。

该漏洞被跟踪为 CVE-2021-40539,涉及 REST API 身份验证绕过,可能导致任意远程代码执行 (RCE)。ADSelfService Plus 构建多达 6113 次受到影响。

根据极牛网GEEKNB.COM小编的梳理,ManageEngine ADSelfService Plus 是一个集成的用户密码管理、AD域控和云应用程序的单点登录解决方案,使管理员能够对应用程序登录和用户重置密码实施双因素身份验证。

CVE-2021-40539 已在野漏洞利用中被检测到,黑客可以利用此漏洞来控制受影响的系统”CISA表示,敦促采用相关产品的公司尽快更新安全补丁,并确保 ADSelfService Plus 不能访问互联网,以降低受攻击的风险。

Zoho公司表示:“黑客可以通过远程发出特殊请求来利用此漏洞,通过产品的 REST API 直接获得对产品的未经授权访问,这将使得黑客可以轻易地实现任意远程代码执行 (RCE)”。

根据极牛网GEEKNB.COM小编的梳理,CVE-2021-40539 是ManageEngine ADSelfService Plus自年初以来披露的第5个安全漏洞,其中3个——CVE-2021-37421(CVSS评分:9.8)、CVE-2021-37417(CVSS评分:9.8)、CVE-2021-33055(CVSS 评分:9.8)都在最近的更新中得到了解决。第四个漏洞 CVE-2021-28958(CVSS 评分:9.8)已于 2021 年 3 月修复。

这一发展也标志着 Zoho 企业产品中的缺陷第二次在现实世界的攻击中被积极利用。2020 年 3 月,APT41黑客组织被发现利用 ManageEngine Desktop Central 中的 RCE 漏洞(CVE-2020-10189,CVSS 评分:9.8)在企业网络中下载和执行恶意攻击载荷,作为全球入侵活动的一部分。

 

美国CISA安全警告,Zoho密码管理软件零日漏洞正在野利用

极牛网精选文章《美国CISA安全警告,Zoho密码管理软件零日漏洞正在野利用》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16229.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年9月8日 下午4:09
下一篇 2021年9月9日 上午11:10

相关推荐

发表回复

登录后才能评论