Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย
ช่องโหว่ดังกล่าวมีรหัสช่องโหว่ CVE-2021-40539 ซึ่งสามารถเลี่ยงการตรวจสอบยืนยันตัวตนในส่วน REST API และสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบต่อผลิตภัณฑ์ของ Zoho ที่ใช้งาน ADSelfService Plus 6113 รายการ
ManageEngine ADSelfService Plus คือ ส่วนที่ใช้ในการจัดการรหัสผ่าน และทำ single sign-on สำหรับ Active Directory และ app บนระบบคลาวด์ ผู้ดูแลระบบสามารถบังคับใช้ 2FA ในการเข้าสู่ระบบแอปพลิเคชัน และรีเซ็ตรหัสผ่านของผู้ใช้งาน
CISA ได้ออกมาแจ้งเตือนให้บริษัทหรือองค์กร ดำเนินการตรวจสอบและ update patch ความปลอดภัยล่าสุดกับเซิร์ฟเวอร์ ManageEngine และ ตรวจสอบที่ ADSelfService Plus ไม่ให้สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต
ซึ่งช่องโหว่าที่เกิดขึ้น ADSelfService Plus ยังพบมีอีก 4 ช่องโหว่ด้วยกันคือ CVE-2021-37421 (CVSS score: 9.8), CVE-2021-37417 (CVSS score: 9.8), and CVE-2021-33055 (CVSS score: 9.8) ซึ่งได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว
ช่องโหว่อีก 1 รายการ CVE-2021-28958 (CVSS score: 9.8) ได้รับการแก้ไขแล้วเช่นเดียวกัน
เหตุการณ์นี้เป็นครั้งที่สองที่พบการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Zoho ซึ่งก่อนหน้านี้ในเดือนมีนาคม 2020 พบว่า APT41 ใช้ประโยชน์จากช่องโหว่ RCE ใน ManageEngine Desktop Central (CVE-2020-10189, คะแนน CVSS: 9.8) เพื่อดาวน์โหลดและติดตั้ง payload ที่เป็นอันตรายภายในเครือข่ายองค์กรที่มีการใช้งาน
ที่มา: thehackernews