Ejecución remota de código en múltiples productos ManageEngine

Fecha de publicación 31/01/2023
Importancia
5 - Crítica
Recursos Afectados

Esta vulnerabilidad solo afecta cuando SAML SSO está o estaba activado en la configuración de ManageEngine.

  • Access Manager Plus, versiones 4307 y anteriores;
  • Active Directory 360, versiones 4309 y anteriores;
  • ADAudit Plus, versiones 7080 y anteriores;
  • ADManager Plus, versiones 7161 y anteriores;
  • ADSelfService Plus, versiones 6210 y anteriores;
  • Analytics Plus, versiones 5140 y anteriores;
  • Application Control Plus, versiones 10.1.2220.17 y anteriores;
  • Asset Explorer, versiones 6982 y anteriores;
  • Browser Security Plus, versiones 11.1.2238.5 y anteriores;
  • Device Control Plus, versiones 10.1.2220.17 y anteriores;
  • Endpoint Central, versiones 10.1.2228.10 y anteriores;
  • Endpoint Central MSP, versiones 10.1.2228.10 y anteriores;
  • Endpoint DLP, versiones 10.1.2137.5 y anteriores;
  • Key Manager Plus, versiones 6400 y anteriores;
  • OS Deployer, versiones 1.1.2243.0 y anteriores;
  • PAM 360, versiones 5712 y anteriores;
  • Password Manager Pro, versiones 12123 y anteriores;
  • Patch Manager Plus, versiones 10.1.2220.17 y anteriores;
  • Remote Access Plus, versiones 10.1.2228.10 y anteriores;
  • Remote Monitoring and Management (RMM), versiones 10.1.40 y anteriores;
  • ServiceDesk Plus, versiones 14003 y anteriores;
  • ServiceDesk Plus MSP, versiones 13000 y anteriores;
  • SupportCenter Plus, versiones desde 11017 hasta 11025;
  • Vulnerability Manager Plus, versiones 10.1.2220.17 y anteriores.
Descripción

El investigador Khoadha, de Viettel Cyber Security, ha reportado a través del programa bug bounty del fabricante, una vulnerabilidad de severidad crítica que podría permitir a un atacante, no autenticado, ejecutar código arbitrario en múltiples productos de ManageEngine cuando se cumplen los criterios sobre SAML SSO citados anteriormente.

Solución

Aplicar las versiones correctoras listadas en la columna Fixed Version(s) del aviso del fabricante.

Detalle

Los productos potencialmente vulnerables utilizan versiones obsoletas de la librería Apache Santuario. Los productos deben tener activado el inicio de sesión único (SSO) mediante SAML para ser vulnerables. Para algunos productos, el SSO debe estar activo, mientras que para otros, basta con que el SSO haya estado activo alguna vez. Como resultado, la vulnerabilidad permite a un atacante no autenticado ejecutar código arbitrario. Se ha asignado el identificador CVE-2022-47966 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Security advisory for remote code execution vulnerability in multiple ManageEngine products
Critical Vulnerability in Several ManageEngine Products
Etiquetas