Продукты Zoho ManageEngine Удаленное выполнение команд SAML XML без проверки подлинности

vulnerability vulnerability

Несколько продуктов Zoho ManageEngine on-premise позволяют удаленное выполнение кода из-за использования Apache xmlsec (он же XML Security for Java или Apache Santuario) 1.4.1. Функции xmlsec XSLT делают приложение ответственным за определенные средства защиты, а приложения ManageEngine не обеспечили эти средства. Из-за этого специально созданный веб-запрос SAML XML POST может внедрить удаленную команду для выполнения без аутентификации. Для того чтобы система была уязвима к этой уязвимости, необходимо, чтобы SAML auth был включен. Публичная эксплуатация вероятна, так как в открытом доступе имеется PoC.

 CVE-2022-47966

Затронутыми продуктами ManageEngine являются:

  • Access Manager Plus
  • Active Directory 360
  • ADAudit Plus
  • ADManager Plus
  • ADSelfService Plus
  • Analytics Plus
  • Application Control Plus
  • Asset Explorer
  • Browser Security Plus
  • Device Control Plus
  • Endpoint Central
  • Endpoint Central MSP
  • Endpoint DLP
  • Key Manager Plus
  • OS Deployer
  • PAM 360
  • Password Manager Pro
  • Patch Manager Plus
  • Remote Access Plus
  • Remote Monitoring and Management (RMM)
  • ServiceDesk Plus
  • ServiceDesk Plus MSP
  • SupportCenter Plus
  • Vulnerability Manager Plus

Исправление

Данное уведомление было первоначально выпущено в конце октября 2022 года вместе с исправлениями безопасности. Загрузите последний пакет обновлений из ManageEngine Security Advisory для соответствующего продукта и примените его как можно скорее. Отключение SAML может не обеспечить защиту в зависимости от продукта. Более подробную информацию см. в вышеупомянутом руководстве по безопасности.

Обнаружение

Проверьте журналы приложений на наличие признаков попыток эксплуатации путем поиска исключений SAML. Обычно они находятся в каталоге установки продукта, например: C:\Program Files\ManageEngine\productname\logs.

Запись в журнале может выглядеть следующим образом: authentication.saml.SamlException: Signature validation failed. Ответ SAML отклонен

SEC-1275-1
Добавить комментарий