L’Agence pour la cybersécurité et la sécurité des infrastructures a ajouté à son catalogue de bogues exploités dans la nature une vulnérabilité de désérialisation Java de gravité critique affectant plusieurs produits Zoho ManageEngine.
« ManageEngine a averti ses clients en juillet lorsqu’il a publié des correctifs de sécurité pour remédier à ce problème.
Après avoir été ajoutées au catalogue des vulnérabilités connues et exploitées de la CISA, toutes les agences fédérales civiles du pouvoir exécutif doivent maintenant corriger leurs systèmes contre ce bogue exploité dans la nature, conformément à une directive opérationnelle contraignante publiée en novembre.
Bien que le BOD 22-01 ne s’applique qu’aux agences américaines du FCEB, l’agence américaine de cybersécurité a également vivement recommandé à toutes les organisations des secteurs privé et public du monde entier d’appliquer en priorité les correctifs à ce bogue.
Entre août et octobre 2021, les serveurs de ManageEngine ont également été attaqués par des pirates d’État utilisant des tactiques et des outils similaires à ceux déployés dans les attaques du groupe de pirates APT27 lié à la Chine.
À la suite de ces campagnes, le FBI et la CISA ont publié deux avis conjoints mettant en garde contre les acteurs APT qui exploitent les failles de ManageEngine pour déposer des shells web sur les réseaux d’organisations d’infrastructures critiques, notamment dans les secteurs de la santé, de l’électronique, des services financiers et du conseil en informatique.
