原始发布日期:2021 年 9 月 16 日
联邦调查局 (FBI)、CISA 和海岸警卫队网络司令部 (CGCYBER) 发布了一份联合网络安全公告 (CSA),详细说明了 Zoho ManageEngine ADSelfService Plus 中的身份验证绕过漏洞 (CVE-2021-40539) 的主动利用——自助式密码管理和单点登录解决方案。 FBI、CISA 和 CGCYBER 评估,高级持续威胁 (APT) 网络行为者很可能是利用该漏洞的人之一。利用此漏洞对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用该软件的实体构成严重风险。
CISA 强烈鼓励用户和管理员查看联合 FBI-CISA-CGCYBER CSA:APT 攻击者利用 ManageEngine ADSelfService Plus 中新发现的漏洞并立即实施推荐的缓解措施,其中包括更新到 ManageEngine ADSelfService Plus 版本 6114。
本产品受本通知和本隐私和使用政策的约束。