الثغرات ›

CVE-2021-40539

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Zoho ManageEngine ADSelfService Plus Authentication Bypass Vulnerability — Zoho ManageEngine ADSelfService Plus contains an authentication bypass vulnerability affecting the REST API URLs which allow

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

Zoho ManageEngine ADSelfService Plus contains a critical authentication bypass vulnerability in REST API endpoints that enables unauthenticated remote code execution. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate threat to organizations using this identity management solution. Attackers can bypass authentication mechanisms and execute arbitrary code with system privileges, potentially compromising entire Active Directory infrastructures and user credential databases.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 07:03

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability critically impacts Saudi government agencies, financial institutions regulated by SAMA, and large enterprises relying on ADSelfService Plus for identity and access management. Government entities (NCA, Ministry of Interior, Ministry of Finance) using this solution face potential compromise of employee credentials and administrative access. Saudi banking sector institutions and payment processors are at severe risk of unauthorized access to customer data and financial systems. Healthcare organizations (MOH facilities, private hospitals) could experience disruption of patient record systems. Telecommunications providers (STC, Mobily, Zain) managing millions of subscriber credentials are particularly vulnerable. Energy sector organizations including ARAMCO subsidiaries could face operational technology access compromise.

🏢 القطاعات السعودية المتأثرة

Government & Public Administration Banking & Financial Services Healthcare Energy & Utilities Telecommunications Large Enterprises Education

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1133 - External Remote Services T1078 - Valid Accounts T1110 - Brute Force T1021 - Remote Services T1059 - Command and Scripting Interpreter T1098 - Account Manipulation T1087 - Account Discovery

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all instances of Zoho ManageEngine ADSelfService Plus in your environment and document versions

2. Isolate affected systems from production networks if running vulnerable versions (pre-patch)

3. Review access logs for REST API endpoints (/api/*, /rest/*) for suspicious authentication bypass attempts

4. Monitor for indicators: unusual API calls without proper authentication headers, POST requests to /api/v3/users or /api/v3/groups endpoints

PATCHING GUIDANCE:

1. Apply Zoho security patches immediately (version 6121 and later contain fixes)

2. Prioritize patching for systems with internet-facing REST API endpoints

3. Test patches in non-production environment first

4. Schedule maintenance window for production deployment

COMPENSATING CONTROLS (if patching delayed):

1. Implement network-level access controls: restrict REST API endpoint access to authorized IP ranges only

2. Deploy WAF rules to block suspicious API requests lacking proper authentication tokens

3. Enable API request logging and implement real-time alerting for authentication failures

4. Implement rate limiting on REST API endpoints

5. Disable REST API if not required for business operations

DETECTION RULES:

1. Alert on POST/PUT requests to /api/v3/* endpoints without valid Authorization headers

2. Monitor for multiple failed authentication attempts followed by successful API calls

3. Track unusual user creation/modification via API endpoints

4. Flag requests to sensitive endpoints (/api/v3/users, /api/v3/groups, /api/v3/roles) from unexpected sources

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع نسخ Zoho ManageEngine ADSelfService Plus في بيئتك وقم بتوثيق الإصدارات

2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا كانت تعمل بإصدارات قابلة للاستغلال

3. راجع سجلات الوصول لنقاط نهاية REST API للكشف عن محاولات تجاوز المصادقة المريبة

4. راقب المؤشرات: استدعاءات API غير عادية بدون رؤوس مصادقة صحيحة، طلبات POST إلى نقاط النهاية

إرشادات التصحيح:

1. طبق تصحيحات أمان Zoho على الفور (الإصدار 6121 والإصدارات الأحدث تحتوي على إصلاحات)

2. أولويات التصحيح للأنظمة التي تحتوي على نقاط نهاية REST API متصلة بالإنترنت

3. اختبر التصحيحات في بيئة غير الإنتاج أولاً

4. جدول نافذة الصيانة لنشر الإنتاج

الضوابط البديلة:

1. تطبيق ضوابط الوصول على مستوى الشبكة: تقييد الوصول إلى نقاط نهاية REST API للنطاقات المصرح بها فقط

2. نشر قواعد WAF لحظر طلبات API المريبة التي تفتقد رموز المصادقة الصحيحة

3. تفعيل تسجيل طلبات API وتطبيق التنبيهات في الوقت الفعلي لفشل المصادقة

4. تطبيق تحديد معدل على نقاط نهاية REST API

5. تعطيل REST API إذا لم تكن مطلوبة لعمليات العمل

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and access rights management A.6.2.2 - Privileged access rights A.8.2.1 - User endpoint devices A.8.3.1 - Access control A.12.4.1 - Event logging A.12.4.3 - Administrator and operator logs

🔵 SAMA CSF

ID.AM-2 - Software platforms and applications are inventoried PR.AC-1 - Identities and credentials are issued and managed PR.AC-4 - Access rights are managed PR.AC-6 - Appropriate access is enforced DE.CM-1 - The network is monitored for unauthorized connections DE.AE-1 - A baseline of network operations is established

🟡 ISO 27001:2022

A.5.1.1 - Information security policy A.6.1.1 - Access control policy A.6.2.1 - User registration and access rights A.6.2.2 - Privileged access rights A.8.1.1 - User endpoint devices A.8.3.1 - Access control A.12.4.1 - Event logging A.12.4.3 - Administrator and operator logs

🟣 PCI DSS v4.0

Requirement 1.3 - Prohibit direct public access Requirement 2.1 - Default security parameters Requirement 6.2 - Security patches Requirement 7.1 - Access control implementation Requirement 8.1 - User identification Requirement 10.2 - Automated audit trails

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Zoho:ManageEngine

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS94.42%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2021-11-17

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-40539

عرّفنا بنفسك

تسجيل الدخول مطلوب