Menu dostępności

Nowe luki bezpieczeństwa w ManageEngine

Nowe luki bezpieczeństwa w ManageEngine – można wstrzykiwać polecenia w ADManager Plus i przejąć uprawnienia systemowe

Odkryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu w instalacjach narzędzia ManageEngine ADManager Plus. Wykorzystanie luki wymaga uwierzytelnienia.

Nie tak dawno, bo na początku marca, pisaliśmy o dostępnym na wolności exploicie na podatności w narzędziach ManageEngine, aktywnie wykorzystywanym w atakach na infrastrukturę IT klientów.

Luka umożliwia zdalne wykonanie kodu (RCE), czyli pełne przejęcie zaatakowanego systemu przez nieuwierzytelnionego atakującego. Otrzymała krytyczną ocenę CVSSv3 9,8/10. Łącznie podatne okazały się aż 24 różne produkty Zoho ManageEngine.

Szczegóły na temat CVE-2023-29084

Informacja o nowej podatności została opublikowana 13 i 14 kwietnia. Dotyczy dwóch błędów w aplikacji Zoho ManageEngine ADManager Plus – narzędzia do zarządzania Active Directory.

luka dotyczy dwóch błędów w aplikacji Zoho ManageEngine ADManager Plus

Pierwszy błąd wykryto w jednej z funkcji w komponencie Proxy Setting Handler. Dzięki manipulowaniu zmiennymi przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności i eskalacji uprawnień. Luka pozwala uwierzytelnionym użytkownikom wykorzystywać wstrzykiwanie poleceń za pośrednictwem ustawień serwera proxy.

Drugi błąd istnieje w funkcji ChangePasswordAction. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności i eskalacji uprawnień.

„Problem wynika z braku odpowiedniej walidacji podanego przez użytkownika ciągu znaków przed użyciem go do wykonania wywołania systemowego. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście konta usługi”.

Raport na temat podatności został udostępniony pod adresem zerodayinitiative.com.

Jest POC i exploit

Autor POC i exploita pokazuje na profilu Github, gdzie leży problem.

Problem wynika z braku odpowiedniej walidacji podanego przez użytkownika ciągu znaków przed użyciem go do wykonania wywołania systemowego. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście konta usługi” – pisze Hoang na swoim profilu.

Luka została naprawiona w wersji 7181.

Badacz przeanalizował kod pliku „ChangePasswordAction.java” przed i po aktualizacji. Zauważył, że w wersji 7181 zmodyfikowano tylko jedną linię – zmienną proxyCommand.

Zoho ManageEngine ADManager Plus - poc exploit
Źródło: HoangND; GitHub

Na tej podstawie mógł napisać exploit.

Demo

Demo z exploitacji luki można obejrzeć na poniższym nagraniu.

Źródło: HoangND; GitHub

Inne historyczne podatności w ManageEngine

Od 2021 w produktach Zoho Manage Engine wykryto i zgłoszono aż 29 luk bezpieczeństwa!

Analizując raport CTI (Cybersecurity Threat Intelligence), widzimy, że w samej Polsce występuje aż 14 zagrożeń związanych z podatnościami ManageEngine. Oznacza to, że 14 firm (o których wiadomo) może być zagrożonych.

Zoho ManageEngine ADManager Plus - CTI raport

Pamiętajmy, że CTI ma na celu zrozumienie obecnych i przyszłych zagrożeń, aby jak najszybciej na nie reagować lub zapobiegać im.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...