无身份验证的缺陷打开了一扇漏洞的门
更新一个脆弱性在ManageEngine中,攻击者可以在其某些密码和访问管理工具的受影响安装上执行任意代码。
ManageEngine为服务管理,运营管理,Active Directory和Security提供企业IT管理软件,并由190个国家 /地区的280,000个组织使用。
由于使用了基于Java的开源企业资源计划(ERP)系统Apache Ofbiz的使用,远程攻击者可以在密码管理器Pro的脆弱安装上执行任意代码,访问管理工具PAM360和Access Manager Plus,,,,根据研究人员使用Viniciuspereiras这个名字的研究人员。
不验证在密码管理器PRO或PAM360产品中利用此漏洞是需要的。对于密码管理器Pro,攻击者将能够输入内部网络,妥协在服务器上的数据,或崩溃或关闭整个服务器和应用程序。
可追溯到2020年的Apache ofbiz的脆弱版本暴露了XMLRPC端点,该端点是未经身份验证的,因为身份验证仅在每服务基础上应用。
但是,当在身份验证之前处理XMLRPC请求时,应对远程调用的任何序列化参数进行了序列化。
根据研究人员的说法,这意味着如果classpath包含任何可以用作实现远程代码执行(RCE)的小工具的类,攻击者将能够在任何具有与运行BBIZ的Servlet容器相同特权的OFBIZ服务器上运行任意系统命令。
问题 - 被跟踪为CVE-2020-9496- 据报道于6月21日将其管理为管理,并在同一天得到承认。三天后发布的新版本中解决了该漏洞。
"I’d like to thank the security community, although I can’t disclose vulnerability information, there were some researchers who managed to go after it and come up with a working poc [proof of concept], exploits and Metasploit modules," the blog post reads.
本文已更新以包括澄清。
