CISA警告称，Zoho ManageEngine ADSelfService存在被积极利用的漏洞

#美国网络安全和基础设施安全局（CISA）周三发布公告警告称，一个零日漏洞影响Zoho ManageEngine ADSelfService Plus部署，该漏洞目前正被广泛利用

该漏洞被追踪为CVE-2021-40539，涉及REST API身份验证旁路，可能导致任意远程代码执行（RCE）。高达6113的ADSelfService Plus版本受到影响

#ManageEngine ADSelfService Plus是一个集成的自助密码管理和针对Active Directory和云应用的单点登录解决方案，使管理员能够对应用程序登录和用户重置密码实施双因素身份验证

#“CVE-2021-40539在野外的漏洞攻击中被检测到。远程攻击者可以利用此漏洞控制受影响的系统，”CISA说，并敦促公司对其ManageEngine服务器应用最新的安全更新，“确保ADSelfService Plus不能从互联网直接访问。”

#“ManageEngine ADSelfService Plus的利用对关键基础设施公司、美国认可的国防承包商、学术机构和其他使用该软件的实体构成严重风险，”CISA说。“成功利用该漏洞可使攻击者放置WebShell，从而使对手能够进行攻击后活动，例如泄露管理员凭据、进行横向移动，以及过滤注册表配置单元和Active Directory文件。”

#在一份独立咨询中，Zoho警告说，这是一个“关键问题”，并且“注意到了这种漏洞被利用的迹象”

#“该漏洞允许攻击者通过发送精心编制的请求，通过REST API端点获得对产品的未经授权访问，”该公司说。“这将允许攻击者执行后续攻击，从而导致RCE。”

CVE-2021-40539是ManageEngine ADSelfService Plus自年初以来披露的第五个安全漏洞，其中三个是—；CVE-2021-37421（CVSS分数：9.8）、CVE-2021-37417（CVSS分数：9.8）和CVE-2021-33055（CVSS分数：9.8）和#8212；在最近的更新中解决了这些问题。第四个漏洞，CVE-2021-8958（CVSS评分：9.8），在2021年3月被纠正。

#这一发展也标志着Zoho enterprise产品中的缺陷第二次在现实世界的攻击中被积极利用。2020年3月，发现APT41参与者利用ManageEngine Desktop Central（CVE-2020-10189，CVSS分数：9.8）中的RCE漏洞在公司网络中下载并执行恶意有效载荷，这是全球入侵活动的一部分