Vulnérabilité Zoho Manageengine Adselfservice

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mercredi un bulletin d’avertissement concernant une faille zero-day affectant les déploiements de Zoho ManageEngine ADSelfService Plus qui est actuellement activement exploitée dans la nature.

Le défaut, suivi comme CVE-2021-40539, concerne un contournement d’authentification de l’API REST qui pourrait conduire à l’exécution arbitraire de code à distance (RCE). Les builds ADSelfService Plus jusqu’à 6113 sont impactés.

ManageEngine ADSelfService Plus est une gestion des mots de passe en libre-service intégrée et une solution d’authentification unique pour Active Directory et les applications cloud, permettant aux administrateurs d’appliquer une authentification à deux facteurs pour les connexions aux applications et aux utilisateurs de réinitialiser leurs mots de passe.

« CVE-2021-40539 a été détecté dans des exploits dans la nature. Un attaquant distant pourrait exploiter cette vulnérabilité pour prendre le contrôle d’un système affecté », CISA mentionné, exhortant les entreprises à appliquer la dernière mise à jour de sécurité à leurs serveurs ManageEngine et à « s’assurer qu’ADSelfService Plus n’est pas directement accessible depuis Internet ».

Dans un conseil indépendant, Zoho mis en garde qu’il s’agit d’un « problème critique » et qu’il « remarque des indications d’exploitation de cette vulnérabilité ».

Publicité

« Cette vulnérabilité permet à un attaquant d’obtenir un accès non autorisé au produit via les points de terminaison de l’API REST en envoyant une requête spécialement conçue », a déclaré la société. « Cela permettrait à l’attaquant de mener des attaques ultérieures entraînant un RCE. »

CVE-2021-40539 est la cinquième faille de sécurité divulguée dans ManageEngine ADSelfService Plus depuis le début de l’année, dont trois : CVE-2021-37421 (score CVSS : 9,8), CVE-2021-37417 (score CVSS : 9,8), et CVE-2021-33055 (score CVSS : 9,8) – ont été abordés dans les mises à jour récentes. Une quatrième vulnérabilité, CVE-2021-28958 (score CVSS : 9,8), a été rectifiée en mars 2021.

Ce développement marque également la deuxième fois qu’une faille dans les produits d’entreprise Zoho est activement exploitée dans le cadre d’attaques réelles. En mars 2020, les acteurs de l’APT41 ont été trouvé exploitation d’une faille RCE dans Acronis Desktop Central (CVE-2020-10189, score CVSS : 9,8) pour télécharger et exécuter des charges utiles malveillantes dans les réseaux d’entreprise dans le cadre d’une campagne d’intrusion mondiale.


Rate this post
Publicité
Article précédentLe lancement du smartphone économique Tecno Spark 8 confirmé en Inde le 13 septembre
Article suivantLa nécessité d’une réglementation cryptographique en Inde
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici