Η Zoho προτρέπει στους πελάτες της να διορθώσουν επειγόντως ένα επικίνδυνο ελάττωμα ασφαλείας που υπάρχει σε πολλά προϊόντα ManageEngine.
Δείτε επίσης: Η CircleCI εξέδωσε προειδοποίηση για παραβίαση ασφάλειας
Ένα κρίσιμο σφάλμα ασφαλείας, γνωστό ως CVE-2022-47523, εντοπίστηκε στο Password Manager Pro secure vault της εταιρείας, στο πρόγραμμα διαχείρισης προνομιακής πρόσβασης PAM360 και στη λύση διαχείρισης privileged session Access Manager Plus. Αυτή η ευπάθεια είναι ένα επικίνδυνο SQL injection που μπορεί δυνητικά να θέσει σε κίνδυνο τα δεδομένα των χρηστών που είναι αποθηκευμένα σε αυτά τα συστήματα.
Εάν οι επιτιθέμενοι καταφέρουν να εκμεταλλευτούν το σύστημα, θα μπορέσουν να αποκτήσουν πρόσβαση στη βάση δεδομένων του backend χωρίς να χρειάζονται έλεγχο ταυτοποίησης. Αυτό θα τους επιτρέψει να δημιουργήσουν και να εκτελέσουν προσαρμοσμένα queries, τα οποία μπορούν να τους επιτρέψουν να δουν καταχωρήσεις σε διάφορους πίνακες της βάσης δεδομένων.
Ο οργανισμός τόνισε ότι, λόγω της δυνητικά επιβλαβούς φύσης αυτής της ευπάθειας, οι πελάτες θα πρέπει να βιαστούν να αναβαθμίσουν στην τελευταία έκδοση των PAM360, Password Manager Pro και Access Manager Plus.
Τον περασμένο μήνα, η Zoho ανέλαβε δράση για την αντιμετώπιση του προβλήματος, επικυρώνοντας και διασφαλίζοντας κατάλληλα τους ειδικούς χαρακτήρες.
Για να κάνετε update στο προϊόν σας, κατεβάστε το τελευταίο πακέτο ενημερώσεων για το PAM360, το Password Manager Pro ή το Access Manager Plus. Η αναβάθμιση θα διασφαλίσει ότι έχετε πρόσβαση σε όλα τα χαρακτηριστικά και τις λειτουργίες που είναι διαθέσιμες στη νεότερη έκδοση!
Δείτε επίσης: Νέο Linux malware εγκαθιστά cryptominers, DDoS bots
Το επόμενο βήμα είναι να αναπτύξετε την πιο πρόσφατη έκδοση σύμφωνα με τις οδηγίες αναβάθμισης που είναι διαθέσιμες στη σελίδα του πακέτου αναβάθμισης κάθε προϊόντος.
Τον περασμένο Σεπτέμβριο, η CISA προειδοποίησε τις επιχειρήσεις για ένα κρίσιμο κενό ασφαλείας (CVE-2022-35405) στο ManageEngine, το οποίο θα μπορούσε να χρησιμοποιηθεί για την απόκτηση πρόσβασης απομακρυσμένης εκτέλεσης κώδικα σε unpatched servers που τρέχουν τα PAM360, Access Manager Plus και Password Manager Pro.
Τα τελευταία χρόνια, οι Zoho ManageEngine servers έχουν δεχθεί πολλές επιθέσεις (ιδίως τα instances Desktop Central) και τα δεδομένα πρόσβασης να πωλούνται σε υπόγεια φόρουμ hacking.
Η Zoho παρέχει στις μικρομεσαίες επιχειρήσεις μια σειρά επιχειρηματικών εφαρμογών επιχειρηματικού επιπέδου που έχουν σχεδιαστεί για να καλύπτουν τις συγκεκριμένες ανάγκες τους. Αυτό περιλαμβάνει τα πάντα, από λογισμικό διαχείρισης πελατειακών σχέσεων (CRM) έως λογιστικά εργαλεία, λύσεις επικοινωνίας, λύσεις διαχείρισης έργων, λύσεις μάρκετινγκ ηλεκτρονικού ταχυδρομείου, εργαλεία ανάλυσης, λύσεις τιμολόγησης, λύσεις προγραμματισμού εργαζομένων και πολλά άλλα. Όλες αυτές οι εφαρμογές είναι προσβάσιμες μέσω του cloud, γεγονός που τις καθιστά προσβάσιμες από οπουδήποτε και εύκολες στη χρήση.
Πηγή πληροφοριών: bleepingcomputer.com
