В продуктах ManageEngine исправлены критические уязвимости

В продуктах ManageEngine исправлены критические уязвимости

Пять из шести уязвимостей позволяют удаленно выполнить код.

Проблемы с безопасностью продуктов ManageEngine ставят под угрозу компании из списка Fortune 500. Уязвимости были обнаружены исследователями из Digital Defense, сообщившими о них в среду, 21 марта.

Согласно уведомлению безопасности Digital Defense, в трех продуктах ManageEngine (Logs360, EventLog Analyzer и Applications Manage) были выявлены шесть ранее неизвестных уязвимостей. Решения ManageEngine для управления корпоративными сетями насчитывают более 40 тыс. пользователей по всему миру, а клиентами компании являются три из пяти представителей Fortune 500.

Первая уязвимость является критической и позволяет удаленное выполнение кода с привилегиями пользователя, настроившего EventLog. С ее помощью злоумышленник может получить доступ к классу com.adventnet.sa.agent.UploadHandlerServlet через POST-запрос путем отправки специальным образом сконфигурированного zip-файла. Проблема затрагивает версии продуктов EventLog Analyzer 11.8 и Logs360 5.3.

Вторая уязвимость затрагивает 13-ю версию Applications Manager. С ее помощью злоумышленник может полностью скомпрометировать Applications Manager и в результате выполнить произвольный код с правами системы на Windows. Проблема связана с тем, что с помощью GET- или POST- запросов, отправленных к /servlet/aam_servercmd, атакующий может получить доступ к сервлету com.adventnet.appmanager.servlets.comm.AAMRequestProcessor без аутентификации.

Третья уязвимость также затрагивает Applications Manager 13 и позволяет выполнить произвольный код с правами системы на Windows. Путем отправки GET- или POST- запросов к /servlet/SyncEventServlet атакующий может получить доступ к классу SyncEventServlet. В случае, если программа запущена как административный сервер, где параметром запросов «operation» является checkEventSynch, этот параметр может использоваться для SQL-запросов без проверки.

Четвертая уязвимость также затрагивает Applications Manager 13 и приводит к раскрытию информации. С ее помощью злоумышленник может отправить POST-запрос и получить доступ к классу FailOverHelperServlet без аутентификации.

Пятая уязвимость также затрагивает Applications Manager 13 и позволяет выполнить произвольный код с правами системы на Windows. Путем отправки GET- или POST-запросов атакующий может получить доступ к сервлету MenuHandlerServlet без аутентификации.

Шестая уязвимость затрагивает Applications Manager и позволяет выполнить произвольный код с правами системы на Windows. Злоумышленник может отправить GET-запрос к /servlet/OPMRequestHandlerServlet, где параметром «OPERATION_TYPE» является «APM_API_KEY_REQUEST», а параметр «USERNAME» настроен на любого легитимного пользователя. В таком случае полученный злоумышленником ответ будет содержать ключ API пользователя.

Компания ManageEngine уже исправила вышеописанные уязвимости. Загрузить обновление можно с официального сайта производителя.