ManagementEngine Döviz Muhabiri Plus’ta saldırganların hedef sunucularda keyfi komutlar yürütmesine izin verebilecek ciddi bir güvenlik açığı tespit edilmiştir.
CVE-2025-3835 olarak adlandırılan bu kritik uzaktan kod yürütme güvenlik açığı, tüm Exchange Reporter’ı artı Build 5721 ve altındaki kurulumları etkiler.
ManageEngine, 29 Mayıs 2025’te 5722 Build’de bir yama yayınlayarak hızlı bir şekilde yanıt verdi.
.png
)
Güvenlik uzmanları, etkilenen yazılımı kullanan tüm kuruluşları derhal güncellemeye çağırıyor, çünkü sömürü işletme ortamlarında sistem uzlaşmasına ve potansiyel veri ihlallerine yol açabilir.
Exchange muhabiri artı RCE kusuru
CVE-2025-3835 olarak tanımlanan güvenlik kusuru, özellikle Exchange Reporter Plus içindeki içerik arama modülünü hedefler.
Bu kritik güvenlik açığı, kötü niyetli aktörlerin etkilenen yazılım sürümlerini çalıştıran sistemlerde yetkisiz kod enjekte etmesini ve yürütmesini sağlar.
Yöneticilerin Exchange Server içeriği aracılığıyla arama yapmasına yardımcı olmak için tasarlanan içerik arama bileşeni, kullanıcı tarafından sağlanan parametreleri düzgün bir şekilde dezenfekte edemeyen bir giriş doğrulama kusuru içerir.
Bu güvenlik açığı, saldırganlara tehlikeli sunuculara sistem düzeyinde ayrıcalıklar verdiği için özellikle tehlikeli bir saldırı vektörünü temsil eder.
Teknik istismar metodolojisi, savunmasız içerik arama uç noktasına özel olarak hazırlanmış HTTP isteklerinin gönderilmesini içerir. Başarılı bir şekilde sömürüldükten sonra, saldırganlar aşağıdaki modeli kullanarak keyfi sistem komutlarını yürütebilir:
Yürütüldüğünde, bu yük giriş doğrulama kontrollerini atlar ve genellikle sistem izinlerine sahip olan Exchange Reporter Plus hizmet hesabı ile aynı ayrıcalıklarla çalışır.
Bu güvenlik açığı, tam sistem uzlaşması potansiyeli nedeniyle kritik olarak kategorize edilir. Saldırganlar sömürüldükten sonra, başvuru hizmeti hesabı ile aynı ayrıcalıklarla keyfi kod yürütme yeteneği kazanırlar.
Bu, tehdit aktörlerinin kalıcı erişim oluşturmasını, ağlar içinde yanal olarak hareket etmesini, hassas verileri püskürtmesini veya fidye yazılımı gibi ek kötü amaçlı yükler dağıtmasını sağlayabilir.
Saldırı senaryoları, finansal kurumlara, devlet kurumlarına ve Exchange sunucusu dağıtımlarının yaygın olduğu büyük işletmelere karşı hedeflenen kampanyaları içerebilir.
Güvenlik açığı, FPT Nightwolf’tan güvenlik araştırmacısı NgockhanHC311 tarafından sorumlu bir şekilde açıklandı ve yaygın sömürü gerçekleşmeden önce kritik güvenlik açıklarının belirlenmesinde ve ele alınmada işbirlikçi güvenlik araştırmalarının önemini gösterdi.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Managine Exchange Reporter Plus, 5721 ve daha önce inşa ediyor |
| Darbe | Uzak Kod Yürütme |
| Önkoşuldan istismar | İçerik Arama Uç Noktasına Ağ Erişilebilirliği (TCP/8080) ve Kötü niyetli HTTP Post istekleri oluşturma yeteneği |
| CVSS 3.1 puanı | 9.8 (kritik) |
Hafifletme
ManageEngine, 29 Mayıs 2025’te piyasaya sürülen Build 5722’deki bu güvenlik açığını ele aldı.
Düzeltme, komut enjeksiyon denemelerini önlemek için içerik arama modülünde uygun giriş doğrulama ve sterilizasyon uygular.
Şirket, tüm müşterilere şu adımları takip etmelerini şiddetle tavsiye eder:
- En son hizmet paketini Resmi ManageEngine web sitesinden indirin.
- Yamayı belgelenen prosedüre göre mevcut kurulumlara uygulayın.
- Yapım numarasının 5722 veya daha yüksek olarak değiştirildiğini doğrulayarak başarılı güncellemeyi doğrulayın.
Hemen güncellenemeyen kuruluşlar için, geçici azaltma stratejileri, değişim muhabirine ağ erişimini kısıtlamak, ek ağ segmentasyonunun uygulanmasını ve savunmasız bileşeni hedefleyen şüpheli faaliyetler için izlemeyi geliştirmeyi içerir.