Несколько продуктов Zoho ManageEngine on-premise позволяют удаленное выполнение кода из-за использования Apache xmlsec (он же XML Security for Java или Apache Santuario) 1.4.1. Функции xmlsec XSLT делают приложение ответственным за определенные средства защиты, а приложения ManageEngine не обеспечили эти средства. Из-за этого специально созданный веб-запрос SAML XML POST может внедрить удаленную команду для выполнения без аутентификации. Для того чтобы система была уязвима к этой уязвимости, необходимо, чтобы SAML auth был включен. Публичная эксплуатация вероятна, так как в открытом доступе имеется PoC.
CVE-2022-47966
Затронутыми продуктами ManageEngine являются:
- Access Manager Plus
- Active Directory 360
- ADAudit Plus
- ADManager Plus
- ADSelfService Plus
- Analytics Plus
- Application Control Plus
- Asset Explorer
- Browser Security Plus
- Device Control Plus
- Endpoint Central
- Endpoint Central MSP
- Endpoint DLP
- Key Manager Plus
- OS Deployer
- PAM 360
- Password Manager Pro
- Patch Manager Plus
- Remote Access Plus
- Remote Monitoring and Management (RMM)
- ServiceDesk Plus
- ServiceDesk Plus MSP
- SupportCenter Plus
- Vulnerability Manager Plus
Исправление
Данное уведомление было первоначально выпущено в конце октября 2022 года вместе с исправлениями безопасности. Загрузите последний пакет обновлений из ManageEngine Security Advisory для соответствующего продукта и примените его как можно скорее. Отключение SAML может не обеспечить защиту в зависимости от продукта. Более подробную информацию см. в вышеупомянутом руководстве по безопасности.
Обнаружение
Проверьте журналы приложений на наличие признаков попыток эксплуатации путем поиска исключений SAML. Обычно они находятся в каталоге установки продукта, например: C:\Program Files\ManageEngine\productname\logs.
Запись в журнале может выглядеть следующим образом: authentication.saml.SamlException: Signature validation failed. Ответ SAML отклонен