Компания ManageEngine раскрыла критическую уязвимость CVE-2026-11374, затрагивающую ряд интегрированных продуктов в составе платформы управления идентификацией AD360. Проблема позволяет неавторизованному злоумышленнику подменить легитимного пользователя и получить полный контроль над его учётной записью. Производитель уже выпустил исправления для всех затронутых компонентов.
Уязвимость CVE-2026-11374
Уязвимость обнаружена в механизме генерации SSO-токенов (единого входа) при взаимодействии AD360 с подключёнными модулями: ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus и ADAudit Plus. Согласно бюллетеню безопасности, при аутентификации через AD360 создаются специальные билеты, обеспечивающие бесшовный доступ между продуктами. Однако исследователи выяснили, что эти токены могут быть предсказаны из-за недостаточной случайности или уязвимой логики их формирования.
Эксплуатация CVE-2026-11374 не требует наличия учётных данных. Злоумышленник, сгенерировав или угадав корректный SSO-токен, может обойти механизмы аутентификации и получить идентификатор целевого пользователя, а также информацию о его ролях. В зависимости от привилегий скомпрометированной учётной записи атака может привести к полному её захвату, повышению прав доступа, утечке данных и дальнейшему перемещению внутри корпоративной сети.
Особую опасность проблема представляет в крупных организациях, где AD360 используется для централизованного управления Active Directory, самообслуживания паролей, аудита и администрирования Microsoft 365. Несанкционированный доступ к этим системам потенциально позволяет злоумышленнику перехватить управление ключевыми инфраструктурными сервисами.
Уязвимость затрагивает следующие версии продуктов: ADSelfService Plus build 6528 и более ранние (исправлено в build 6529, выпущенном 3 июня 2026 года); RecoveryManager Plus build 6320 и более ранние (исправлено в build 6321 от 5 июня 2026 года); M365 Manager Plus build 4816 и более ранние (исправлено в build 4817 от 10 июня 2026 года); ADAudit Plus build 8702 и более ранние (исправлено в build 8703 от 12 июня 2026 года).
ManageEngine устранила проблему, усилив механизм генерации SSO-токенов. Теперь аутентификационные маркеры не могут быть предсказаны и не эксплуатируются неавторизованными пользователями. Патчи доступны на официальных страницах распространения сервис-паков для каждого затронутого продукта.
Уязвимость была обнаружена и ответственно раскрыта исследователем безопасности под псевдонимом 0xmanhnv через программу BugBounty компании Zoho. ManageEngine подтвердила получение отчёта и поблагодарила исследователя за сообщение о проблеме.
Командам безопасности рекомендуется немедленно установить последние сервис-паки, особенно в средах, где AD360 работает в промышленной эксплуатации. Предварительный характер уязвимости (не требует аутентификации) и высокий потенциал полной компрометации учётных записей делают патчинг первоочередной задачей. Дополнительно стоит проанализировать журналы аутентификации на предмет необычной активности SSO и рассмотреть внедрение средств мониторинга для выявления возможных попыток эксплуатации.
В случае трудностей с установкой обновлений или необходимостью временных мер защиты можно обратиться в службу поддержки соответствующего продукта или напрямую в команду безопасности ManageEngine.
Эта ситуация вновь привлекает внимание к критической важности безопасной реализации механизмов генерации токенов в системах единого входа. Предсказуемые или слабые алгоритмы формирования SSO-маркеров способны свести на нет все остальные меры защиты, позволяя злоумышленнику проникать в защищённые сегменты корпоративных сетей без подбора паролей или эксплуатации других уязвимостей. Широкое распространение решений ManageEngine в инфраструктурах управления идентификацией делает CVE-2026-11374 серьёзным риском, требующим оперативного реагирования.
Ссылки
