ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü Zoho ManageEngine’de yakın zamanda açıklanan bir güvenlik açığını, aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuna ekledi.
Ajans bir bildiride, “Zoho ManageEngine PAM360, Password Manager Pro ve Access Manager Plus, uzaktan kod yürütülmesine izin veren belirtilmemiş bir güvenlik açığı içeriyor” dedi.
CVE-2022-35405 olarak izlenen kritik güvenlik açığı, CVSS puanlama sisteminde önem derecesi açısından 10 üzerinden 9,8 olarak derecelendirilmiştir ve 24 Haziran 2022’de yayınlanan güncellemelerin bir parçası olarak Zoho tarafından yamalanmıştır.
Kusurun tam doğası bilinmemekle birlikte, Hindistan merkezli kurumsal çözümler şirketi, rastgele kodun uzaktan yürütülmesine yol açabilecek savunmasız bileşenleri kaldırarak sorunu çözdüğünü söyledi.
Zoho ayrıca, güvenlik açığı için bir kavram kanıtı (PoC) istismarının halka açık olması konusunda uyardı ve müşterilerin Password Manager Pro, PAM360 ve Access Manager Plus örneklerini mümkün olan en kısa sürede yükseltmek için hızlı hareket etmesini zorunlu hale getirdi.
Vahşi doğada aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) kurumlarının satıcı tarafından sağlanan yamaları 13 Ekim 2022’ye kadar uygulamaları gerekiyor.