CVE-2022-47966 megértése: Kritikus fenyegetés a Zoho ManageEngine termékei számára

Ebben a bejegyzésben a CVE-2022-47966 azonosítójú jelentős biztonsági hibát vizsgáljuk, amely több Zoho ManageEngine on-premise terméket érint.

Mi ez a sérülékenység?

A CVE-2022-47966 egy távoli kódfuttatási (Remote Code Execution – RCE) sérülékenység, amely a ManageEngine alkalmazásokban használt elavult Apache Santuario xmlsec 1.4.1 könyvtárból ered.

Hogyan működik?

Az Apache Santuario xmlsec 1.4.1 biztonsági funkciói nem elegendők, ezért az alkalmazásnak kellett volna gondoskodnia bizonyos védelmi mechanizmusokról. A ManageEngine termékek azonban nem megfelelően valósították meg ezeket, így a támadók SAML-alapú egyszeri bejelentkezést (SSO) kihasználva távoli kódfuttatást érhetnek el.

Fontos: a sérülékenység kizárólag akkor kihasználható, ha az érintett termékben valaha is be lett állítva a SAML-alapú SSO – akkor is, ha jelenleg nincs aktívan használatban.

Kik érintettek?

Számos ManageEngine on-premise termék érintett. Többek között az alábbi verziók:

• ServiceDesk Plus: 14003 és korábbi
• Access Manager Plus: 4308 előtti
• Active Directory 360: 4310 előtti
• ADAudit Plus: 7081 előtti
• ADManager Plus: 7162 előtti
• ADSelfService Plus: 6211 előtti
• Analytics Plus: 5150 előtti
• Application Control Plus: 10.1.2220.18 előtti
• Asset Explorer: 6983 előtti
• Browser Security Plus: 11.1.2238.6 előtti
• Device Control Plus: 10.1.2220.18 előtti
• Endpoint Central / MSP: 10.1.2228.11 előtti
• Endpoint DLP: 10.1.2137.6 előtti
• Key Manager Plus: 6401 előtti
• OS Deployer: 1.1.2243.1 előtti
• PAM 360: 5713 előtti
• Password Manager Pro: 12124 előtti
• Patch Manager Plus: 10.1.2220.18 előtti
• Remote Access Plus: 10.1.2228.11 előtti
• Remote Monitoring and Management (RMM): 10.1.41 előtti
• ServiceDesk Plus MSP: 13001 előtti
• SupportCenter Plus: 11026 előtti
• Vulnerability Manager Plus: 10.1.2220.18 előtti

Enyhítési lépések

Az érintett termékek frissítése az egyetlen biztonságos megoldás. Néhány fontosabb frissített verzió:

• ServiceDesk Plus: 14004 vagy újabb
• ServiceDesk Plus MSP: 13001 vagy újabb
• SupportCenter Plus: 11026 vagy újabb
• Vulnerability Manager Plus: 10.1.2220.18 vagy újabb

A többi érintett termék frissítési információját a ManageEngine hivatalos oldalán találod.

Hivatkozott források

• Apache Santuario xmlsec verziók
• ManageEngine biztonsági közlemény
• Packet Storm – ServiceDesk Plus 14003 RCE
• Packet Storm – ADSelfService Plus SAML RCE
• CISA közlemény
• Rapid7 – technikai részletek

Források

• https://cveawg.mitre.org/api/cve/CVE-2022-47966
• https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
• https://github.com/horizon3ai/CVE-2022-47966
• https://www.horizon3.ai/manageengine-cve-2022-47966-technical-deep-dive/
• https://attackerkb.com/topics/gvs0Gv8BID/cve-2022-47966/rapid7-analysis
• https://github.com/SystemVll/CVE-2022-47966