İş yazılımı sağlayıcısı Zoho, müşterilerini birden fazla ManageEngine ürününü etkileyen kritik bir güvenlik açığını düzeltmeye çağırdı.
CVE-2022-47523 olarak izlenen kusur, şirketin Password Manager Pro güvenli kasası, PAM360 ayrıcalıklı erişim yönetimi yazılımı ve Access Manager Plus ayrıcalıklı oturum yönetimi çözümünde bulunan bir SQL enjeksiyon güvenlik açığıdır.
Başarılı bir istismarın ardından güvenlik açığı, saldırganlara arka uç veritabanına kimliği doğrulanmamış erişim sağlar ve veritabanı tablo girişlerine erişmek için özel sorgular yürütmelerine izin verir.
“Dahili çerçevemizde bir SQL enjeksiyon güvenlik açığı (CVE-2022-47523) belirledik. [..] kullanıcıların arka uç veritabanına kimliği doğrulanmamış erişimi var,” dedi Zoho.
Şirket, “bu güvenlik açığının ciddiyeti göz önüne alındığında, müşterilere derhal PAM360, Password Manager Pro ve Access Manager Plus’ın en son sürümüne yükseltmeleri şiddetle tavsiye edilir.”
Zoho, sorunu geçen ay özel karakterlerden kaçarak ve uygun doğrulama ekleyerek çözdüğünü söylüyor.
Kurulumunuzu yükseltmek için önce ürününüz için en son yükseltme paketini (PAM360, Password Manager Pro, Access Manager Plus) indirmelisiniz.
Bir sonraki adım, her ürünün Yükseltme Paketi sayfasında bulunan yükseltme talimatlarına göre en son yapıyı dağıtmaktır.
| Ürün adı | Etkilenen Sürümler | Sabit Sürüm | Düzeltilmiş |
| Şifre Yöneticisi Pro | 12200 ve altı | 12210 | 30-12-2022 |
| PAM360 | 5800 ve altı | 5801 | 28-12-2022 |
| Erişim Yöneticisi Artı | 4308 ve altı | 4309 | 29-12-2022 |
Eylül ayında CISA, PAM360, Access Manager Plus ve Password Manager Pro çalıştıran yama uygulanmamış sunucularda uzaktan kod yürütülmesini sağlamaya yönelik saldırılarda istismar edilen başka bir kritik ManageEngine güvenlik açığı (CVE-2022-35405) konusunda uyarıda bulundu.
ABD Federal Sivil Yürütme Organları Ajanslarına (FCEB) güvenlik açığı bulunan sistemleri yamalamaları ve ağlarının suistimal girişimlerine karşı korunmasını sağlamaları için üç hafta süre verildi.
Zoho ManageEngine sunucuları, örneğin, Temmuz 2020’den itibaren bilgisayar korsanlığı forumlarında satılan, saldırıya uğrayan ve ihlal edilen kuruluşların ağlarına erişim sağlayan Desktop Central bulut sunucuları ile son yıllarda sürekli olarak hedefleniyor.
Ağustos ve Ekim 2021 arasında ulus devlet bilgisayar korsanları, Çin bağlantılı APT27 bilgisayar korsanlığı grubununkine benzer taktikler ve araçlar kullanarak ManageEngine sunucularını da hedef aldı.
Bu kapsamlı saldırı kampanyalarının ardından, FBI ve CISA iki ortak tavsiye yayınladı. [1, 2] kritik altyapı kuruluşlarının ağlarına arka kapı olarak girmek için ManageEngine hatalarından yararlanan devlet destekli saldırganlara karşı uyarı.