ManageEngine 产品中出现代码执行漏洞 60%的财富500强公司受影响

网络安全技术和服务提供商 Digital Defense 公司的研究人员发现了影响 Zoho 公司 ManageEngine 产品中的新一轮漏洞问题。

ManageEngine 向包括60%的财富500强公司在内的4万多名客户提供网络、数据中心、桌面、移动设备和安全解决方案服务。

又出现6个严重漏洞

今年早些时候，Digita Defense 公司曾报告了ManageEngine ServiceDesk Plus 技术服务支持软件中的多个潜在严重漏洞。本周三，该公司又披露了研究人员在 ManageEngine Log360、EventLog Analyzer 和 Applications Manager 产品中发现的6个其它安全漏洞的详情。

研究人员称，这些漏洞分别为文件上传、SQL 盲注、本地文件包含和 API 密钥泄露问题，它们均可在未验证的情况下被用于执行任意代码并获取潜在的敏感信息。

Digital Defense 公司指出，Log360 和 EventLog Analyzer 日志管理产品受未经验证的文件上传漏洞影响。该漏洞遭利用后可将一个 JavaServer 页面 (JSP) web shell 上传到根目录。由于文件上传功能的安全检查可被轻易绕过，因此这种情况是很可能发生的。

研究人员发现的其它漏洞问题影响 ManageEngine Applications Manager产品，而且很多漏洞均可用于任意代码执行。

专家发现了多个 SQL 盲注缺陷，它可遭未经认证的攻击者以系统权限执行任意代码并完全控制目标主机。

这些安全漏洞还包括一个本地文件包含问题，它可被用于下载或包含敏感信息的文件。

研究人员还发现，攻击者能够通过特殊构造的 GET 请求获得 Application Manager 用户的 API 密钥。

Digital Defense 公司警告称，“攻击者可利用被攻陷用户的权限级别，能完全攻陷 Applications Manager web 应用和运行该应用的主机。”

补丁已发布

研究人员已于2月12日将这些漏洞告知 ManageEngine，后者于几周后发布额修复方案，并在3月7日为客户推出补丁。