ManageEngine Applications Manager 远程代码执行漏洞

近日，研究人员通过分析发现ManageEngine Applications Manager中存在一个严重的远程代码执行漏洞。漏洞源于可公开访问的testCredential.do端点，在验证用户提供的凭证时可能导致远程代码执行。目前官方还没有发布新版本进行修复。

详情请参考如下链接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7890

https://www.securityfocus.com/bid/103358

https://pentest.blog/advisory-manageengine-applications-manager-remote-code-execution-sqli-and/

漏洞概述

testCredential.do这个端点会接受多个用户输入，并通过访问指定的系统来验证提供的凭证。 该端点随后会调用多个内部类，然后执行一个PowerShell脚本。如果指定的系统是OfficeSharePointServer，则传给此脚本的用户名和密码参数会失效，从而引发潜在的命令注入，导致远程代码执行。

漏洞影响

因为Applications Manager多数用在内网环境下，直接被利用的范围较小，但是，由于该漏洞有固定的请求地址，当攻击者入侵进入企业内部网络后，可通过扫描的方式探测和发现，从而进行利用，控制存在漏洞的服务器。

受影响的版本

● ManageEngine Applications Manager 13.5

解决方案

研究人员已经公开了exploit脚本，凭借如metasploit等渗透工具，大规模的攻击行为会随之而来，请相关企业针对部署的ManageEngine Applications Manager应用增加监控和力度。可以通过判断日志记录中是否存在异常的固定请求，如：/jsonfeed.do,/testCredential.do等，来进行攻击排查。

同时，请受影响的用户对ManageEngine官方保持关注，以便随时更新进行修复。

参考链接：

https://www.manageengine.com/products/applications_manager/download.htm

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

点击“阅读原文”查看完整内容

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP