Tin An Ninh Mạng

Zoho tung bản vá cho lỗi nghiêm trọng trên ADSelfService Plus

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo tin tặc đang khai thác một lỗ hổng nghiêm trọng trong giải pháp quản lý mật khẩu ManageEngine ADSelfService Plus của Zoho, cho phép chúng chiếm quyền kiểm soát hệ thống.

Người dùng mục tiêu của ADSelfService Plus là các tổ chức lớn cần giải pháp quản lý mật khẩu “tự phục vụ” tích hợp cùng giải pháp đăng nhập một lần cho Active Directory và các ứng dụng đám mây.

{

}

ZohoADSelfServicePlus.jpg

Các nỗ lực khai thác đang được tiến hành
Lỗ hổng CVE-2021-40539 cho phép kẻ tấn công từ xa chưa được xác thực thực thi mã tùy ý trên hệ thống tồn tại lỗ hổng.

Zoho đã đưa ra khuyến cáo cập nhật bản vá cho ADSelfService Plus khi hãng nhận thấy dấu hiệu lỗ hổng này đang bị khai thác.

Hiện tại, chưa có nhiều thông tin cụ thể về lỗ hổng được công bố. Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ chưa tính điểm CVSS, nhưng Zoho cho biết vấn đề này rất nghiêm trọng: “Lỗ hổng qua mặt xác thực ảnh hưởng đến các URL REST API, có thể dẫn đến việc thực thi mã từ xa”.

Các tổ chức có phiên bản ADSelfService Plus thấp hơn 6114 được khuyến nghị áp dụng bản cập nhật mới nhất từ nhà phát triển, bằng cách sử dụng gói dịch vụ.

CVE-2021-40539 là lỗ hổng nghiêm trọng thứ 5 trên ManageEngine ADSelfService Plus được báo cáo trong năm nay. Các lỗ hổng còn lại bao gồm:

  • CVE-2021-37421 – Lỗ hổng qua mặt cơ chế hạn chế truy cập cổng quản trị trong Zoho ManageEngine ADSelfService Plus 6103 trở về trước.
  • CVE-2021-37417 – Lỗ hổng qua mặt CAPTCHA do xác thực thông số không đúng trong Zoho ManageEngine ADSelfService Plus phiên bản 6103 trở về trước.
  • CVE-2021-33055 – Lỗ hổng thực thi mã từ xa chưa được xác thực trong các phiên bản không phải tiếng Anh, ảnh hưởng đến Zoho ManageEngine ADSelfService Plus từ 6102 trở về trước.
  • CVE-2021-28958 – Lỗ hổng thực thi mã từ xa chưa được xác thực khi thay đổi mật khẩu, ảnh hưởng tất cả các phiên bản Zoho ManageEngine ADSelfService Plus từ 6101 trở về trước.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !