Update over Beveiligingskwetsbaarheid in Zoho ManageEngine ADSelfService Plus

ZohoCorp heeft recentelijk een belangrijke kwetsbaarheid opgelost in hun softwareproduct, ManageEngine ADSelfService Plus, die van invloed was op versies 6510 en eerder. Deze kwetsbaarheid betrof de manier waarop sessies werden beheerd binnen het systeem. Wanneer multi-factor authenticatie (MFA) niet is ingeschakeld, kunnen gebruikers met geldige accounts het systeem mogelijk uitbuiten, wat kan leiden tot ongeautoriseerde overnames van accounts.

Samenvatting van de Kwetsbaarheidsoplossing

• Publicatiedatum: Vandaag (NCSC-2025-0071)
• Impact niveau: Medium kans op uitbuiting, maar met een hoge potentiële schade wanneer het tot uitbuiting komt.

Beschrijving van de Kwetsbaarheid

De kwetsbaarheid in ManageEngine ADSelfService Plus maakte het mogelijk voor kwaadwillende gebruikers om sessies te kapen, wat kon resulteren in een potentiële overname van accounts zonder adequate beveiligingsmaatregelen, zoals MFA.

Hoe u uzelf kunt beschermen:

ZohoCorp heeft updates uitgebracht om deze kwetsbaarheid te verhelpen. Het is essentieel voor organisaties die deze software gebruiken, om de nieuwste updates direct door te voeren. Zie voor meer details de beveiligingsadviseur van Zoho zelf: Security Advisory van Zoho.

Technologie en Versies

• Product: ManageEngine ADSelfService Plus, Zoho Corp
• Getroffen Versies: Versies 6510 en eerder

Verdere Acties en Documentatie

Voor meer gedetailleerde informatie kunt u de volgende bronnen raadplegen:

• Signed-PGP Advisory
• CSAF-bestand
• PDF-rapport

Het Nationaal Cyber Security Centrum (NCSC) heeft met zorg dit beveiligingsadvies samengesteld. Echter, ondanks deze zorgvuldigheid doet het NCSC geen garanties voor de volledigheid of juistheid van deze informatie. Deze advisory is enkel bedoeld voor informatieve doeleinden voor professionals. Gebruikers worden aangemoedigd om zelf extra stappen te ondernemen ter verificatie en beveiliging.

Met het gebruiken van deze informatie gaat u akkoord met de voorwaarden dat het NCSC en de Staat niet aansprakelijk zijn voor enige schade als gevolg van het gebruik van deze informatie. Geschillen die voortvloeien uit dit advies zullen behandeld worden volgens het Nederlandse recht en door bevoegde rechters in Den Haag.

Met de juiste aandacht voor beveiligingsupdates en het volgen van best practices, kunnen organisaties de risico’s beperken die gepaard gaan met softwarekwetsbaarheden.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----