Emma Woollacott 09 Eylül 2022, 12:46 UTC
Güncelleme: 09 Eylül 2022, 13:06 UTC
Kimlik doğrulama gerektirmeyen kusur, bir dizi istismarın kapısını açtı
Bir araştırmacı, ManageEngine’de, bir saldırganın, parola ve erişim yönetimi araçlarının bazılarının etkilenen yüklemelerinde rasgele kod yürütmesine olanak verebilecek bir güvenlik açığı keşfetti.
ManageEngine, hizmet yönetimi, operasyon yönetimi, Active Directory ve güvenlik için kurumsal BT yönetimi yazılımı sunar ve 190 ülkede 280.000 kuruluş tarafından kullanılır.
Java tabanlı bir açık kaynaklı kurumsal kaynak planlama (ERP) sistemi olan Apache OFBiz’in güvenlik açığı bulunan bir sürümünün kullanılması sayesinde, uzaktaki saldırganlar, Password Manager Pro, erişim yönetim aracı PAM360 ve Access Manager Plus’ın güvenlik açığı bulunan yüklemelerinde rastgele kod yürütebilirdi. GitHub güvenlik araştırmacısı Alvaro Muñoz’a göre.
En son güvenlik araştırma haberlerini yakalayın
Password Manager Pro veya PAM360 ürünlerinde bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekmezdi. Password Manager Pro durumunda, bir saldırgan dahili ağlara girebilir, sunucudaki verilerin güvenliğini aşabilir veya tüm sunucuyu ve uygulamaları kilitleyebilir veya kapatabilir.
Apache OFBiz’in 2020’ye kadar uzanan güvenlik açığı bulunan sürümü, kimlik doğrulama yalnızca hizmet bazında uygulandığı için kimliği doğrulanmayan bir XMLRPC uç noktası sunar.
Ancak, XMLRPC isteği kimlik doğrulamadan önce işlendiğinde, uzak çağırma için tüm serileştirilmiş bağımsız değişkenler seri durumdan çıkarılır.
Muñoz’a göre bu, eğer sınıf yolu bir saldırgan, OfBiz’i çalıştıran sunucu uygulaması kapsayıcısıyla aynı ayrıcalıklara sahip herhangi bir OfBiz sunucusunda rastgele sistem komutları çalıştırabilir.
Muñoz, CVE-2020-9496 olarak izlenen sorunu 21 Haziran’da ManageEngine’e bildirdi ve aynı gün kabul edildi. Güvenlik açığı, üç gün sonra yayınlanan yeni bir sürümde çözüldü.
“Güvenlik topluluğuna teşekkür etmek istiyorum, ancak güvenlik açığı bilgilerini ifşa edemesem de, bunun peşinden gitmeyi başaran ve çalışan bir poc ile ortaya çıkan bazı araştırmacılar vardı. [proof of concept]istismarlar ve Metasploit modülleri” dedi.
İLİŞKİLİ LastPass, saldırganlar kaynak kodunu ve teknik bilgileri çaldıktan sonra güvenlik olayını işaretliyor