ADSelfService Plusに脆弱性、悪用したサイバー攻撃を確認

米コンピュータ緊急事態対策チーム（US-CERT: United States Computer Emergency Readiness Team）は9月7日(米国時間)、「Zoho Releases Security Update for ADSelfService Plus｜CISA」において、Active Directoryアカウント管理セルフサービス「ManageEngine ADSelfService Plus」に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

• Fixing the authentication bypass vulnerability affecting REST APIs | ManageEngine ADSelfService Plus

• Fixing the authentication bypass vulnerability affecting REST APIs ｜ ManageEngine ADSelfService Plus

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

• ManageEngine ADSelfService Plus builds 6113およびこれよりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

• ManageEngine ADSelfService Plus builds 6114

この脆弱性(CVE-2021-40539)は既にサイバー攻撃に悪用されていることが明らかになっており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、ManageEngine ADSelfService Plusをインターネットから直接アクセスできないようにして運用することを強く推奨している。