CISA har udsendt en advarsel om en ny, kritisk nul-dages sårbarhed, der påvirker Zoho ManageEngine-servere.
Relaterede: Tre nye nul-dage afsløret i Kaseya Unitrends
Mere specifikt, en autentificerings -bypass -fejl påvirker REST API -webadresserne i ADSelfService Plus, hvilket kunne føre til fjernkørsel af programkode, hvis det udnyttes med succes. Nul-dagen er blevet identificeret som CVE-2021-40539.
CVE-2021-40539 Zero-Day i Zoho ManageEngine
Efter afsløringen, Zoho har frigivet en sikkerhedsopdatering, der adresserer fejlen. Selve fejlen påvirker ManageEngine ADSelfService Plus -builds 6113 og nedenfor.
Ifølge Zohos rådgivning, nul-dagen “tillader en angriber at få uautoriseret adgang til produktet gennem REST API-slutpunkter ved at sende en specielt udformet anmodning. Dette ville gøre det muligt for angriberen at udføre efterfølgende angreb, der resulterede i RCE. ”
Hvad er ManageEngine ADSelfService Plus?
Dette er en selvbetjeningsadgangskodehåndtering og enkelt login-løsning til Active Directory og cloud-apps. “CISA opfordrer kraftigt organisationer til at sikre, at ADSelfService Plus ikke er direkte tilgængelig fra internettet,”forskerne advaret.
Brugere og administratorer opfordres til at henvende sig til Zohos rådgivning for yderligere detaljer, og for at opdatere til ADSelfService Plus build 6114.