İş yazılımı sağlayıcısı Zoho, müşterilerini birden fazla ManageEngine ürününü etkileyen yüksek önem dereceli bir güvenlik kusurunu düzeltmeye çağırdı.
CVE-2022-47523 olarak izlenen hata, şirketin Password Manager Pro güvenli kasası, PAM360 ayrıcalıklı erişim yönetimi yazılımı ve Access Manager Plus ayrıcalıklı oturum yönetimi çözümünde bulunan bir SQL enjeksiyon güvenlik açığıdır.
Başarılı istismar, kimliği doğrulanmış saldırganlara arka uç veritabanına erişim sağlar ve veritabanı tablo girişlerine erişmek için özel sorgular yürütmelerine olanak tanır.
“Dahili çerçevemizde tüm erişime izin verecek bir SQL enjeksiyon güvenlik açığı (CVE-2022-47523) belirledik. [..] kullanıcıları arka uç veritabanına aktarın,” dedi Zoho.
Şirket, “bu güvenlik açığının ciddiyeti göz önüne alındığında, müşterilere derhal PAM360, Password Manager Pro ve Access Manager Plus’ın en son sürümüne yükseltmeleri şiddetle tavsiye edilir.”
Zoho, sorunu geçen ay özel karakterlerden kaçarak ve uygun doğrulama ekleyerek çözdüğünü söylüyor.
Kurulumunuzu yükseltmek için önce ürününüz için en son yükseltme paketini (PAM360, Password Manager Pro, Access Manager Plus) indirmelisiniz.
Bir sonraki adım, her ürünün Yükseltme Paketi sayfasında bulunan yükseltme talimatlarına göre en son yapıyı dağıtmaktır.
| Ürün adı | Etkilenen Sürümler | Sabit Sürüm | Düzeltilmiş |
| Şifre Yöneticisi Pro | 12200 ve altı | 12210 | 30-12-2022 |
| PAM360 | 5800 ve altı | 5801 | 28-12-2022 |
| Erişim Yöneticisi Artı | 4308 ve altı | 4309 | 29-12-2022 |
Eylül ayında CISA, PAM360, Access Manager Plus ve Password Manager Pro çalıştıran yama uygulanmamış sunucularda uzaktan kod yürütülmesini sağlamaya yönelik saldırılarda istismar edilen başka bir kritik ManageEngine güvenlik açığı (CVE-2022-35405) konusunda uyarıda bulundu.
ABD Federal Sivil Yürütme Organları Ajanslarına (FCEB) güvenlik açığı bulunan sistemleri yamalamaları ve ağlarının suistimal girişimlerine karşı korunmasını sağlamaları için üç hafta süre verildi.
Zoho ManageEngine sunucuları, örneğin, Temmuz 2020’den itibaren bilgisayar korsanlığı forumlarında satılan, saldırıya uğrayan ve ihlal edilen kuruluşların ağlarına erişim sağlayan Desktop Central bulut sunucuları ile son yıllarda sürekli olarak hedefleniyor.
Ağustos ve Ekim 2021 arasında ulus devlet bilgisayar korsanları, Çin bağlantılı APT27 bilgisayar korsanlığı grubununkine benzer taktikler ve araçlar kullanarak ManageEngine sunucularını da hedef aldı.
Bu kapsamlı saldırı kampanyalarının ardından, FBI ve CISA iki ortak tavsiye yayınladı. [1, 2] kritik altyapı kuruluşlarının ağlarına arka kapı olarak girmek için ManageEngine hatalarından yararlanan devlet destekli saldırganlara karşı uyarı.
Güncelleme 05 Ocak 15:30 EST: Makale ve başlık, Zoho’nun kusurun önem derecesini Kritik’ten Yüksek’e düşürmesinin ardından revize edildi.
BleepingComputer’a konuşan bir Zoho sözcüsü, “Maalesef ekibimiz, danışma yazılarımızdan birinde güvenlik açığının ciddiyetini yanlışlıkla ‘Kritik’ olarak işaretlemiş ve güvenlik açığının veritabanına kimliği doğrulanmamış erişime izin verebileceğini belirtmişti.”
“Güvenlik açığından yalnızca kimliği doğrulanmış bir kullanıcı yararlanabilir ve sorunun önem derecesi ‘Yüksek’tir. Danışma gönderilerimizi bu bilgiyi yansıtacak şekilde güncelledik.”