Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) advarer om, at en kritisk fejl ved Zoho ManageEngine remote code execution (RCE), først afsløret i juni, nu er under aktivt angreb.
Ifølge Zoho's lapperådgivning, fejlen "kunne tillade fjernangribere at udføre vilkårlig kode på berørte installationer."
Multiple Zoho ManageEngine produkter er berørt, sagde CISA, herunder Zoho ManageEngine PAM360, Password Manager Pro og Access Manager Plus.
Autentificering er ikke påkrævet for at udnytte sårbarheden i Password Manager Pro- og PAM360-produkter, tilføjede Zoho.
CISA er flyttet til føj Zoho ManageEngine-fejlen til kataloget Known Exploited Vulnerabilities, hvilket indikerer, at fejlen (CVE-2022-35405) begge er under aktiv udnyttelse og udgør en trussel mod den føderale regerings systemer.
CISA råder føderale agenturer til at anvende leverandørpatchen med det samme.