В феврале 2018 года специалисты компании Digital Defense обнаружили сразу шесть серьезных проблем в продуктах ManageEngine — Logs360, EventLog Analyzer и Applications Manager. Решения ManageEngine применяются в области ИТ-менеджемента в корпоративном секторе, их используют более 40 000 клиентов по всему миру, причем три из пяти компаний входят в список Fortune 500.
Первая критическая уязвимость получила идентификатор DDI-VRT-2018-10 и затрагивает Impacting EventLog Analyzer 11.8 и Logs360 5.3. Баг позволяет атакующему получить доступ к com.adventnet.sa.agent.UploadHandlerServlet через POST-запрос и специально созданный файл .zip. В результате злоумышленник способен выполнить произвольный код с таким же правами, что у пользователя, запустившего Eventlog.
Вторая критическая проблема имеет идентификатор DDI-VRT-2018-11 и угрожает Applications Manager версии 13 в решениях ManageEngine. Согласно отчету специалистов, сервлет com.adventnet.appmanager.servlets.comm.AAMRequestProcessor может быть запрошен посредством GET- или POST-запроса к /servlet/aam_servercmd без какой-либо авторизации. В итоге атакующий получит возможность выполнять произвольный код с привилегиями SYSTEM.
Третья проблема имеет идентификатор DDI-VRT-2018-12, тоже касается Applications Manager 13 и очень похожа на предыдущую. Злоумышленник может добраться до SyncEventServlet с помощью GET- или POST-запроса к /servlet/SyncEventServlet. В конечном счете, эксплуатация бага так же приводит к выполнению произвольного кода с правами SYSTEM.
Четвертый баг получил идентификатор DDI-VRT-2018-13 и вновь связан с работой Applications Manager 13. Атакующий может без аутентификации добраться до класса FailOverHelperServlet через POST-запрос, что ведет к раскрытию информации.
Пятая уязвимость, DDI-VRT-2018-14, тоже обнаружена в составе Applications Manager 13. Проблема позволяет направить GET- или POST-запрос сервлету MenuHandlerServlet (без аутентификации), в итоге получив возможность выполнить любой код с правами SYSTEM.
Последняя, шестая уязвимость, получила номер DDI-VRT-2018-15. Исследователи пишут, что если направить GET-запрос к /servlet/OPMRequestHandlerServlet, установив параметр OPERATION_TYPE на APM_API_KEY_REQUES, и задав в качестве USERNAME корректное имя существующего пользователя, можно извлечь ключ API для этого пользователя. Степень опасности уязвимости зависит от прав конкретного пользователя, так как эксплуатация бага может привести к полной компрометации Applications Manager и хоста, на котором тот работает. То есть атакующий вновь получит возможность выполнить любой код с правами SYSTEM.
Компания Zoho, которая разнимается разработкой решений ManageEngine, уже подготовила патчи для всех обнаруженных проблем. В своем отчете представители Digital Defense благодарят производителя за сотрудничество и оперативную реакцию.
