+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

У продуктах ManageEngine виправлені критичні вразливості

П'ять із шести вразливостей дозволяють віддалено виконати код.

Проблеми з безпекою продуктів ManageEngine ставлять під загрозу компанії зі списку Fortune 500. Уразливості були виявлені дослідниками з Digital Defense, які повідомили про них у середу, 21 березня.

Відповідно до повідомлення безпеки Digital Defense, у трьох продуктах ManageEngine (Logs360, EventLog Analyzer та Applications Manage) було виявлено шість раніше невідомих уразливостей. Рішення ManageEngine для управління корпоративними мережами налічують понад 40 тис. користувачів у всьому світі, а клієнтами компанії є три з п'яти представників Fortune 500.

Перша вразливість є критичною і дозволяє віддалене виконання коду з привілеями користувача, що налаштував EventLog. З її допомогою зловмисник може отримати доступ до класу com.adventnet.sa.agent.UploadHandlerServlet через POST-запит шляхом надсилання спеціальним чином налаштованого zip-файлу. Проблема стосується версії продуктів EventLog Analyzer 11.8 та Logs360 5.3.

Друга вразливість стосується 13-ї версії Applications Manager. З її допомогою зловмисник може повністю скомпрометувати Applications Manager і в результаті виконати довільний код із правами системи на Windows. Проблема пов'язана з тим, що за допомогою GET- або POST-запитів, відправлених до /servlet/aam_servercmd, атакуючий може отримати доступ до сервлета com.adventnet.appmanager.servlets.comm.AAMRequestProcessor без автентифікації.

Третя вразливість також стосується Applications Manager 13 і дозволяє виконати довільний код із правами системи на Windows. Шляхом відправки GET- або POST-запитів до /servlet/SyncEventServlet атакуючий може отримати доступ до класу SyncEventServlet. Якщо програма запущена як адміністративний сервер, де параметром запитів «operation» є checkEventSynch, цей параметр може використовуватися для SQL-запитів без перевірки.

Четверта вразливість також стосується Applications Manager 13 і призводить до розкриття інформації. З її допомогою зловмисник може надіслати POST-запит та отримати доступ до класу FailOverHelperServlet без автентифікації.

П'ята вразливість також стосується Applications Manager 13 і дозволяє виконати довільний код із правами системи на Windows. Шляхом відправки GET- або POST-запитів атакуючий може отримати доступ до сервлета MenuHandlerServlet без автентифікації.

Шоста вразливість стосується Applications Manager і дозволяє виконати довільний код із правами системи на Windows. Зловмисник може відправити GET-запит до /servlet/OPMRequestHandlerServlet, де «OPERATION_TYPE» є «APM_API_KEY_REQUEST», а параметр «USERNAME» налаштований на будь-якого легітимного користувача. У такому разі отримана зловмисником відповідь міститиме ключ API користувача.

Компанія ManageEngine вже виправила вищезгадані вразливості. Завантажити оновлення можна з офіційного сайту виробника.

 

Інші новини

Найкраща ціна