심각도가 높은 SQL 인젝션 결함을 패치한 Zoho
조호는 새로 발견된 심각도가 높은 SQL 인젝션 결함에 대해 여러 ManageEngine 제품에 패치를 적용했다고 밝혔습니다.
CVE-2022-47523은 ManageEngine Password Manager Pro, PAM360 및 Access Manager Plus의 SQL 인젝션(SQLi) 취약점으로, 패치가 완료되었습니다. 이 취약점은 사용자가 제공한 입력의 잘못된 유효성 검사로 인해 존재합니다. 공격자는 특수하게 조작된 요청을 취약한 서버로 전송하여 이 취약점을 악용할 수 있습니다.
조호는 지난달 특수 문자를 이스케이프하고 적절한 유효성 검사를 구현하여 이 문제를 해결했다고 주장합니다. 결함의 정확한 성격은 밝혀지지 않았지만, 조호의 릴리스 노트에 따르면 이 결함은 내부 프레임워크에서 발견되었으며 모든 사용자가 "백엔드 데이터베이스에 액세스할 수 있도록" 허용할 수 있다고 합니다.
이 취약점을 성공적으로 익스플로잇한 공격자는 임의의 쿼리를 실행하고 데이터베이스 테이블 항목을 읽거나 수정할 수 있습니다. 이 게시물이 게시된 시점에 ManageEngine은 이 결함에 CVSSv3 점수를 부여하지는 않았지만 심각도를 높음으로 분류하고 영향을 받는 제품을 즉시 업데이트하라고 고객에게 권고했습니다.
조호는 "이 취약점의 심각성을 고려할 때, 고객들은 즉시 최신 버전의 PAM360, Password Manager Pro 및 Access Manager Plus로 업그레이드할 것을 강력히 권장합니다."라고 말합니다. "안타깝게도 우리 팀은 권고 게시물 중 하나에서 취약점의 심각도를 '심각'으로 잘못 표시했으며 이 취약점으로 인해 데이터베이스에 인증되지 않은 액세스가 허용될 수 있다고 명시했습니다."라고 Zoho 대변인은 BleepingComputer에 말했습니다.
사용자는 가능한 한 빨리 제품을 업그레이드하고 취약점을 패치하기 위해 제품의 최신 업그레이드 팩을 다운로드하는 것이 좋습니다. 그런 다음 업그레이드 팩 지침에 따라 기존 제품 설치에 최신 빌드를 적용하세요.
이번 업데이트는 2020년 7월부터 데스크톱 센트럴 인스턴스가 해킹당하고 해킹 포럼에서 침해된 조직의 네트워크 액세스 권한이 판매되는 등 최근 몇 년간 조호 매니지먼트 엔진 서버가 반복적으로 표적이 되어 온 데 따른 것입니다.
국가 지원 해커들은 2021년 8월과 10월 사이에 중국과 연계된 APT27 해킹 그룹과 유사한 전술과 도구를 사용하여 ManageEngine 서버를 표적으로 삼았습니다. 이러한 광범위한 공격이 발생한 후 FBI와 CISA는 국가가 후원하는 공격자들이 ManageEngine 버그를 사용하여 중요 인프라 조직의 네트워크를 백도어하는 것에 대해 경고하는 두 차례의 공동 경고를 발표했습니다.
이 글의 출처는 SecurityAffairs의 기사입니다.