Zoho corrige une faille d'injection SQL de haute gravité
Zoho indique qu'il a corrigé plusieurs produits ManageEngine pour une faille d'injection SQL de haute gravité récemment divulguée.
CVE-2022-47523 est une vulnérabilité d'injection SQL (SQLi) dans ManageEngine Password Manager Pro, PAM360, et Access Manager Plus qui a été corrigée. La vulnérabilité est due à une validation incorrecte des données fournies par l'utilisateur. Un attaquant pourrait profiter de cette vulnérabilité en envoyant une requête spécialement conçue à un serveur vulnérable.
Zoho affirme avoir résolu le problème le mois dernier en échappant les caractères spéciaux et en mettant en œuvre une validation appropriée. Bien que la nature exacte de la faille n'ait pas été révélée, les notes de publication de Zoho révèlent que la faille a été découverte dans son cadre interne et qu'elle pourrait permettre à tous les utilisateurs "d'accéder à la base de données dorsale".
Un attaquant qui réussit à exploiter la vulnérabilité peut exécuter des requêtes arbitraires et lire ou modifier les entrées des tables de la base de données. ManageEngine n'a pas attribué de score CVSSv3 à la faille au moment de la publication de cet article, mais a classé la gravité comme élevée et a conseillé aux clients de mettre à jour les produits affectés immédiatement.
Zoho indique que "compte tenu de la gravité de cette vulnérabilité, il est fortement conseillé aux clients de passer immédiatement à la dernière version de PAM360, Password Manager Pro et Access Manager Plus." "Malheureusement, notre équipe avait incorrectement marqué la gravité de la vulnérabilité comme 'Critique' dans l'un de nos messages d'avis et indiqué que la vulnérabilité pouvait permettre un accès non authentifié à la base de données", a déclaré un porte-parole de Zoho à BleepingComputer.
Il est conseillé aux utilisateurs de télécharger le pack de mise à niveau le plus récent pour le produit afin de mettre à niveau et de corriger la vulnérabilité dès que possible. Suivez ensuite les instructions du pack de mise à niveau pour appliquer la dernière version à l'installation existante du produit.
Cette mise à jour intervient après que les serveurs de Zoho ManageEngine ont été ciblés à plusieurs reprises ces dernières années, les instances de Desktop Central, par exemple, ayant été piratées et l'accès aux réseaux des organisations ayant subi une brèche ayant été vendu sur des forums de piratage à partir de juillet 2020.
Les pirates soutenus par l'État ont utilisé des tactiques et des outils similaires à ceux du groupe de pirates APT27 lié à la Chine pour cibler les serveurs ManageEngine entre août et octobre 2021. À la suite de ces attaques généralisées, le FBI et la CISA ont publié deux avis conjoints mettant en garde contre les attaquants parrainés par l'État qui utilisent les bogues ManageEngine pour ouvrir une porte dérobée sur les réseaux des organisations d'infrastructures critiques.
Les sources de cet article comprennent un article de SecurityAffairs.