Aanvallers maken actief misbruik van kwetsbaarheden in Zoho ManageEngine ADSelfService Plus, Apache Spark en Teclib GLPi, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. Amerikaanse overheidsinstanties zijn opgedragen om de kwetsbaarheden voor 28 maart te patchen.

Apache Spark is software voor grootschalige dataverwerking. Een kwetsbaarheid in het product, aangeduid als CVE-2022-33891, maakt command injection mogelijk. Volgens de Shadowserver Foundation wordt er al sinds 26 juli vorig jaar misbruik van het beveiligingslek gemaakt. De kwetsbaarheid in Zoho ManageEngine ADSelfService Plus maakt remote code execution mogelijk bij het uitvoeren van een wachtwoordreset. ManageEngine ADSelfService Plus is een self-service password management en single sign-on oplossing voor Active Directory en cloud-apps. Het stelt gebruikers onder andere in staat om zelf hun wachtwoord te resetten.

De derde kwetsbaarheid waarvoor het CISA waarschuwt is aanwezig in Teclib GLPi. Dit is een open source "IT Asset Management" oplossing waarmee organisaties it-systemen kunnen beheren en support aan gebruikers bieden. Een library waar GLPi gebruik van maakt bevat een kwetsbaarheid (CVE-2022-35914) waardoor remote code execution mogelijk is. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eerder liet ook de Franse overheid weten dat aanvallers misbruik van het betreffende lek maken.