Zoho corrige une faille critique de ADSelfService Plus

0

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit que les pirates informatiques exploitent une vulnérabilité critique dans la solution de gestion des mots de passe ManageEngine ADSelfService Plus de Zoho qui leur permet de prendre le contrôle du système.

ADSelfService Plus s’adresse aux grandes organisations qui ont besoin d’une gestion intégrée des mots de passe en libre-service et d’une solution d’authentification unique pour Active Directory et les applications cloud.

Exploits détectés dans la nature

Le problème de sécurité est identifié comme CVE-2021-40539. Il est considéré comme critique car il peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.

Zoho a publié un avis de sécurité pour annoncer qu’une mise à jour qui corrige le bogue est actuellement disponible pour ADSelfService Plus.

La société a déclaré qu’elle « remarquait des indications d’exploitation de cette vulnérabilité » dans la nature.

L’alerte de CISA est claire à ce sujet, car l’agence informe que « CVE-2021-40539 a été détecté dans des exploits dans la nature ».

Pour le moment, les informations sur la vulnérabilité sont rares. Un score de gravité n’a pas été calculé par le National Institute of Standards and Technology aux États-Unis, mais Zoho note que le problème est critique:

« Une vulnérabilité de contournement d’authentification affectant les URL de l’API REST, qui pourrait entraîner l’exécution de code à distance », explique la société.

Les organisations avec des versions d’ADSelfService Plus inférieures à 6114 sont invitées à appliquer la dernière mise à jour du développeur, disponible à l’aide du service pack.

CVE-2021-40539 est la cinquième vulnérabilité critique signalée pour Zoho ManageEngine ADSelfService Plus cette année:

  • CVE-2021-37421 – contournement des restrictions d’accès au portail d’administration dans Zoho ManageEngine ADSelfService Plus 6103 et versions antérieures
  • CVE-2021-37417 – Contournement CAPTCHA en raison d’une validation incorrecte des paramètres dans Zoho ManageEngine ADSelfService Plus build 6103 et versions antérieures
  • CVE-2021-33055 – exécution de code à distance non authentifié dans les éditions non anglaises affectant Zoho ManageEngine ADSelfService Plus jusqu’à 6102
  • CVE-2021-28958 – exécution de code à distance non authentifié lors de la modification du mot de passe dans toutes les versions de Zoho ManageEngine ADSelfService Plus jusqu’à 6101
Laisser un commentaire