Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (cisa) hôm thứ Năm đã bổ sung một lỗ hổng bảo mật được tiết lộ gần đây trong Zoho ManageEngine vào Danh mục Các lỗ hổng được khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác tích cực.
“Zoho ManageEngine PAM360, Password Manager Pro và Access Manager Plus chứa một lỗ hổng không xác định cho phép thực thi mã từ xa”, cơ quan này cho biết trong một thông báo.
Lỗ hổng nghiêm trọng, được theo dõi là CVE-2022-35405, được xếp hạng 9,8 trên 10 về mức độ nghiêm trọng trên hệ thống tính điểm CVSS và đã được Zoho vá như một phần của bản cập nhật phát hành vào ngày 24 tháng 6 năm 2022.
Mặc dù bản chất chính xác của lỗ hổng vẫn chưa được biết, nhưng công ty giải pháp doanh nghiệp có trụ sở tại Ấn Độ cho biết họ đã giải quyết vấn đề bằng cách loại bỏ các thành phần dễ bị tấn công có thể dẫn đến việc thực thi mã tùy ý từ xa.
Zoho cũng đã cảnh báo về tính khả dụng công khai của phương thức khai thác bằng chứng khái niệm (PoC) cho lỗ hổng, khiến khách hàng bắt buộc phải nhanh chóng nâng cấp các phiên bản của Password Manager Pro, PAM360 và Access Manager Plus càng sớm càng tốt.
Do hoạt động khai thác tích cực trong tự nhiên, các cơ quan Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu áp dụng các bản vá lỗi do nhà cung cấp cung cấp trước ngày 13 tháng 10 năm 2022.
.
