Zoho tung bản vá cho lỗi nghiêm trọng trên ADSelfService Plus

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Zoho tung bản vá cho lỗi nghiêm trọng trên ADSelfService Plus

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo tin tặc đang khai thác một lỗ hổng nghiêm trọng trong giải pháp quản lý mật khẩu ManageEngine ADSelfService Plus của Zoho, cho phép chúng chiếm quyền kiểm soát hệ thống.

Người dùng mục tiêu của ADSelfService Plus là các tổ chức lớn cần giải pháp quản lý mật khẩu “tự phục vụ” tích hợp cùng giải pháp đăng nhập một lần cho Active Directory và các ứng dụng đám mây.

ZohoADSelfServicePlus.jpg

Các nỗ lực khai thác đang được tiến hành
Lỗ hổng CVE-2021-40539 cho phép kẻ tấn công từ xa chưa được xác thực thực thi mã tùy ý trên hệ thống tồn tại lỗ hổng.

Zoho đã đưa ra khuyến cáo cập nhật bản vá cho ADSelfService Plus khi hãng nhận thấy dấu hiệu lỗ hổng này đang bị khai thác.

Hiện tại, chưa có nhiều thông tin cụ thể về lỗ hổng được công bố. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ chưa tính điểm CVSS, nhưng Zoho cho biết vấn đề này rất nghiêm trọng: “Lỗ hổng qua mặt xác thực ảnh hưởng đến các URL REST API, có thể dẫn đến việc thực thi mã từ xa”.

Các tổ chức có phiên bản ADSelfService Plus thấp hơn 6114 được khuyến nghị áp dụng bản cập nhật mới nhất từ nhà phát triển, bằng cách sử dụng gói dịch vụ.

CVE-2021-40539 là lỗ hổng nghiêm trọng thứ 5 trên ManageEngine ADSelfService Plus được báo cáo trong năm nay. Các lỗ hổng còn lại bao gồm:
  • CVE-2021-37421 – Lỗ hổng qua mặt cơ chế hạn chế truy cập cổng quản trị trong Zoho ManageEngine ADSelfService Plus 6103 trở về trước.
  • CVE-2021-37417 – Lỗ hổng qua mặt CAPTCHA do xác thực thông số không đúng trong Zoho ManageEngine ADSelfService Plus phiên bản 6103 trở về trước.
  • CVE-2021-33055 – Lỗ hổng thực thi mã từ xa chưa được xác thực trong các phiên bản không phải tiếng Anh, ảnh hưởng đến Zoho ManageEngine ADSelfService Plus từ 6102 trở về trước.
  • CVE-2021-28958 – Lỗ hổng thực thi mã từ xa chưa được xác thực khi thay đổi mật khẩu, ảnh hưởng tất cả các phiên bản Zoho ManageEngine ADSelfService Plus từ 6101 trở về trước.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
adselfservice plus cve cve-2021-28958 cve-2021-33055 cve-2021-37417 cve-2021-37421 zoho
Bên trên