L'entité ManageEngine détenue par Zoho et spécialisée dans les logiciels de gestion de parc informatique publie encore des correctifs de sécurité. Après une précédente vulnérabilité critique (CVE-2022-35405) exploitée dans des attaques via de l'exécution de code à distance sur des serveurs non corrigés exécutant PAM360, Access Manager Plus et Password Manager Pro, ces solutions sont à nouveau victime d'une faille. De type injection SQL et identifiée en tant que CVE-2022-47523, celle-ci affecte toujours Password Manager Pro (versions 12200 et antérieures), PAM360 (5800 et antérieures) et Access Manager Plus (4308 et antérieures).

Ce trou de sécurité a été comblé et des mises à jour ont été publiées : il est donc plus que recommandé de mettre à jour ces produits dès que possible. « Cette vulnérabilité peut permettre à un adversaire d'exécuter des requêtes personnalisées et d'accéder aux entrées de la table de base de données à l'aide de la requête vulnérable », a prévenu ManageEngine dans un bulletin de sécurité. « Nous avons résolu ce problème en ajoutant une validation appropriée et en échappant aux caractères spéciaux ». Les patchs sont disponibles dans des packages d'upgrade suivants pour Password Manager ProPAM360 et Access Manager Plus.

Déjà ciblé par des attaques en 2021

Entre août et octobre 2021, des pirates épaulés par un Etat avaient également ciblé les serveurs ManageEngine en utilisant des tactiques et des outils similaires à ceux du groupe de piratage APT27 lié à la Chine. Une faille critique et exploitée avait alors aussi été patchée en décembre 2021 cette fois dans la solution Desktop Cental MSP. Un outil de gestion d'infrastructures IT qui n'est pas sans rappeler celui de Kaseya aussi positionné sur ce segment de marché et qui avait fait les frais d'une attaque géante du cybergang derrière le ransomware REvil à l'été 2021.

ManageEngine revendique plus de 3 millions d'utilisateurs et 280 000 clients utilisant ses solutions au niveau mondial dont 90 % des entreprises du Fortune 100. La société a été créée en 1996 en tant qu'AdventNet avant de devenir ManageEngine en 2002, une division de Zoho Corporation spécialisée dans la gestion de l'IT.