美国网络安全和基础设施安全局 (CISA) 周四将Zoho ManageEngine 中最近披露的一个安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中,并引用了积极利用的证据。
“Zoho ManageEngine PAM360、Password Manager Pro 和 Access Manager Plus 包含一个未指明的漏洞,允许远程执行代码,”该机构在一份通知中说。
跟踪为CVE-2022-35405的严重漏洞在 CVSS 评分系统中的严重性等级为 9.8(满分 10 分),并已由 Zoho 作为 2022 年 6 月 24 日发布的更新的一部分进行修补。
尽管该漏洞的确切性质仍然未知,但这家总部位于印度的企业解决方案公司表示,它通过删除可能导致远程执行任意代码的易受攻击的组件来解决该问题。
Zoho 还警告说,该漏洞的概念证明 (PoC) 漏洞利用的公开可用性,因此客户必须迅速采取行动,尽快升级 Password Manager Pro、PAM360 和 Access Manager Plus 的实例。
网络安全机构没有分享有关该漏洞如何被武器化以及利用工作的广泛程度的更多细节,但 GreyNoise 收集的数据显示,在2022 年 9 月 7 日检测到了野外攻击。
鉴于在野外的积极利用,联邦民事执行局 (FCEB) 机构必须在 2022 年 10 月 13 日之前应用供应商提供的补丁。
稿源:TheHackerNews.com;中文化:YouXia.ORG
