Zoho ManageEngine - CVE-2023-35785
Date de publication :
Un défaut non spécifié dans ManageEngine permet à un attaquant authentifié de contourner la protection MFA et de prendre le contrôle du compte de la victime.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-287: Improper Authentication
Détails sur l'exploitation
• Vecteur d'attaque : Adjacent
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Les produits ManageEngine suivants
• Active Directory 360 versions 4315 et antérieures
• ADAudit Plus versions 7202 et antérieures
• ADManager Plus versions 7200 et antérieures
• Asset Explorer versions 6993, 7002 et antérieures
• Cloud Security Plus versions 4161 et antérieures
• Data Security Plus versions 6110 et antérieures
• Eventlog Analyzer versions 12301 et antérieures
• Exchange Reporter Plus versions 5709 et antérieures
• Log360 versions 5315 et antérieures
• Log360 UEBA versions 4045 et antérieures
• M365 Manager Plus versions 4529 et antérieures
• M365 Security Plus versions 4529 et antérieures
• Recovery Manager Plus versions 6061 et antérieures
• ServiceDesk Plus versions 14204, 14302 et antérieures
• ServiceDesk Plus MSP versions 14300 et antérieures
• SharePoint Manager Plus versions 4402 et antérieures
• Support Center Plus versions 14300 et antérieures
Solutions ou recommandations
Mettre à jour les produits ManageEngine :
• Active Directory 360 vers la version 4316 ou ultérieure.
• ADAudit Plus vers la version 7203 ou ultérieure.
• ADManager Plus vers la version 7201 ou ultérieure.
• Asset Explorer vers la version 6994, 7003 ou ultérieure.
• Cloud Security Plus vers la version 4162 ou ultérieure.
• Data Security Plus vers la version 6111 ou ultérieure.
• Eventlog Analyzer vers la version 12302 ou ultérieure.
• Exchange Reporter Plus vers la version 5710 ou ultérieure.
• Log360 vers la version 5316 ou ultérieure.
• Log360 UEBA vers la version 4046 ou ultérieure.
• M365 Manager Plus vers la version 4531 ou ultérieure.
• M365 Security Plus vers la version 4531 ou ultérieure.
• Recovery Manager Plus vers la version 6062 ou ultérieure.
• ServiceDesk Plus vers la version 14205, 14303 ou ultérieure.
• ServiceDesk Plus MSP vers la version 14301 ou ultérieure.
• SharePoint Manager Plus vers la version 4403 ou ultérieure.
• Support Center Plus vers la version 14301 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de ManageEngine.