Zoho ManageEngine漏洞引发的安全 concern

重点要点

Zoho ManageEngine的漏洞最近被纳入了美国网络安全和基础设施安全局CISA的已知被利用漏洞目录。这一决定是在该漏洞被确认在实际环境中被利用后作出的。Nucleus Security的漏洞研究工程师Ryan Cribelar在博客中详细解释了这一过程，并指出CISA在上周四上传了该漏洞的信息。

根据GitHub安全研究员Alvaro Muoz的博客，CVE202235405可能导致恶意代码在ManageEngine的Password Manager Pro、访问管理工具PAM360和Access Manager Plus的弱版本中执行。Muoz指出，该漏洞的存在是由于Apache OFBizCVE20209496这个基于Java的开源企业资源计划系统的脆弱版本所引起的。

Muoz于6月21日向ManageEngine报告了CVE202235405，该漏洞在同一天得到确认，并在三天后通过新版本解决。MITRE于7月11日为该漏洞打上标签。

Viakoo的首席执行官Bud Broomhead指出，Zoho ManageEngine的漏洞对安全团队提出了三大挑战：

时间压力：由于该漏洞已纳入CISA的KEV目录，系统是否被入侵的手动检查将导致该漏洞在可被利用的时间上大于那些可自动检测并补丁的漏洞。

业务影响评估：Broomhead表示，虽然建议的操作是断开和隔离被入侵的系统，但在将系统下线之前需要评估对业务的影响。

供应链风险：与许多云应用共同存在的是对开源软件的依赖。这一漏洞的基础是2020年发现的开源漏洞，可能仍被用于利用其他应用。Broomhead强调，为了降低此类威胁，组织应与供应商合作，确保其遵循SOC 2及其他安全标准，并提供与其开源软件使用相关的软件材料清单SBOM。

Broomhead还提到：“安全团队需要利用自动化解决方案尤其是发现和修复来应对停止威胁行为者在其环境中执行远程代码的紧迫性，尤其是当涉及的应用程序密码和访问管理与身份管理和身份验证相关联时，转向零信任架构将有助于减少身份管理泄露的影响。”

随着信息安全形势的不断变化，企业和组织需要重视这些漏洞和潜在的威胁，以便采取及时有效的应对措施。