Zoho ManageEngine漏洞引发的安全 concern

重点要点

• 漏洞引入 ：CISA已将Zoho ManageEngine的一个漏洞添加到其已知被利用的漏洞目录（KEV）。
• 漏洞信息 ：CVE-2022-35405的漏洞可能导致恶意代码在受影响的ManageEngine安装中执行。
• 安全挑战 ：该漏洞为安全团队带来了时间压力、业务影响评估和供应链风险等三大挑战。
• 解决方案 ：推荐使用自动化解决方案来进行漏洞发现和修复。

ZohoManageEngine的漏洞最近被纳入了美国网络安全和基础设施安全局（CISA）的已知被利用漏洞目录。这一决定是在该漏洞被确认在实际环境中被利用后作出的。NucleusSecurity的漏洞研究工程师Ryan Cribelar在博客中详细解释了这一过程，并指出CISA在上周四上传了该漏洞的信息。

根据的博客，CVE-2022-35405可能导致恶意代码在ManageEngine的PasswordManager Pro、访问管理工具PAM360和Access Manager Plus的弱版本中执行。Muñoz指出，该漏洞的存在是由于ApacheOFBiz（CVE-2020-9496）这个基于Java的开源 企业资源计划系统的脆弱版本所引起的。

Muñoz于6月21日向ManageEngine报告了CVE-2022-35405，该漏洞在同一天得到确认，并在三天后通过新版本解决。MITRE于7月11日为该漏洞打上标签。

Viakoo的首席执行官Bud Broomhead指出，Zoho ManageEngine的漏洞对安全团队提出了三大挑战：

1. 时间压力 ：由于该漏洞已纳入CISA的KEV目录，系统是否被入侵的手动检查将导致该漏洞在可被利用的时间上大于那些可自动检测并补丁的漏洞。
2. 业务影响评估 ：Broomhead表示，虽然建议的操作是断开和隔离被入侵的系统，但在将系统下线之前需要评估对业务的影响。
3. 供应链风险 ：与许多云应用 共同存在的是对开源软件的依赖。这一漏洞的基础是2020年发现的开源漏洞，可能仍被用于利用其他应用。Broomhead强调，为了降低此类威胁，组织应与供应商合作，确保其遵循SOC 2及其他安全标准，并提供与其开源软件使用相关的软件材料清单（SBOM）。

Broomhead还提到：“安全团队需要利用自动化解决方案（尤其是发现和修复）来应对停止威胁行为者在其环境中执行远程代码的紧迫性，尤其是当涉及的应用程序（密码和访问管理）与身份管理和身份验证相关联时，转向零信任架构将有助于减少身份管理泄露的影响。”

随着信息安全形势的不断变化，企业和组织需要重视这些漏洞和潜在的威胁，以便采取及时有效的应对措施。