Zum Inhalt springen
Bringen Sie Ihre Internet-Intelligenz zum Blühen | Sichern Sie sich 20 % Rabatt auf Censys Search Teams oder Solo-Jahrespläne mit dem Code Spring24 bis 31.5.2009 | Jetzt sparen

 

 

Blogs

CVE-2022-47966 - RCE in zahlreichen ManageEngine-Produkten

TL;DR: Vierundzwanzig ManageEngine-Produkte sind anfällig für einen Pre-Auth-RCE. Von den Diensten, die Censys identifizieren konnte, melden 70 % eine anfällige Softwareversion.

Wenn Sie eines der vielen ManageEngine-Produkte einsetzen und die SAML SSO-basierte Authentifizierung aktiviert haben, aktuell oder in der Vergangenheit, aktualisieren Sie es sofort!

Einführung

Am 10. Januar 2023 wurden Details über eine Sicherheitslücke bekannt, die vierundzwanzig verschiedene ManageEngine-Produkte betrifft und zu einer Remotecodeausführung (RCE) vor der Authentifizierung führen kann, wenn die SAML-Authentifizierung jemals aktiviert wurde. Diese anfälligen Produkte verwenden eine seit zehn Jahren veraltete Version des Open-Source-Projekts "Apache Santuario". Diese Sicherheitslücke wurde CVE-2022-47966 zugeordnet.

ManageEngine ist ein Unternehmen, das eine breite Palette von Produkten entwickelt, vom Identitätsmanagement bis hin zu IT-Ticketing- und Supportsystemen. Diese Produkte finden sich in fast jeder Branche, die Technologie einsetzt: Das Bildungswesen, der Einzelhandel, die Fertigungsindustrie, das Gesundheitswesen und viele mehr. Die Art von Daten, die ein Angreifer aus einem kompromittierten System exfiltrieren kann, könnte genutzt werden, um sich innerhalb eines Unternehmens weiterzuentwickeln.

Wir haben herausgefunden, dass von allen ManageEngine-Produkten, die Censys identifizieren kann, 67 % der Hosts im Internet eine Version der Software ausführen, die möglicherweise für diesen Exploit anfällig ist. Wir verwenden das Wort "möglicherweise", weil ein Administrator die SAML SSO-Authentifizierung für den Dienst aktivieren muss (oder in einigen Fällen irgendwann in der Vergangenheit aktiviert hat), und Censys keine Möglichkeit hat, festzustellen, ob dies der Fall ist (wir sehen nur die HTTP-Antwort).

Bei diesem Problem handelt es sich um ein einfaches Exploit, das von Komplexität, Geschichte und technischer Raffinesse umhüllt ist. Bevor wir jedoch auf die Details der Sicherheitslücken im Internet eingehen, möchte ich den allgemeinen Ablauf einer SAML-SSO-Authentifizierungsanfrage beschreiben, damit wir die richtigen Werkzeuge haben, um zu verstehen, warum diese Sicherheitslücke auftritt und warum sie so leicht ausgenutzt werden kann.

(SAML SSO Fluss über SalesForce)

Wenn ein Benutzer versucht, sich bei einer Webanwendung anzumelden, die SAML-basierte SSO-Authentifizierung verwendet, antwortet der Webserver im Allgemeinen mit einer SAML-Anfrage. Der Browser des Benutzers leitet diese Anfrage dann an einen "Identitätsanbieter" weiter (der von der Webanwendung definiert wird und sich in der Regel auf einem anderen Server befindet); dieser Identitätsanbieter analysiert dann diese SAML-Anfrage und authentifiziert den Client (in der Regel durch Eingabe eines Benutzernamens und eines Passworts). Sobald sich der Benutzer bei diesem Identitätsanbieter authentifiziert hat, erzeugt der Identitätsanbieter eine SAML-Antwort, die an den Browser des Clients zurückgesendet wird. Der Browser des Kunden wiederum sendet diese SAML-Antwort an die ursprüngliche Webanwendung. Die Webanwendung muss nun überprüfen, ob die SAML-Antwort gültig und rechtmäßig ist und vom Identitätsanbieter stammt.

Dieser allgemeine Ablauf der SAML SSO-Authentifizierung bedeutet, dass ein Benutzer den Inhalt einer SAML-Antwort des Identitätsanbieters ändern und manipulieren kann, bevor sie an die Webanwendung zurückgesendet wird. In den meisten Fällen werden Manipulationen von der Webanwendung leicht erkannt, da die Antwort eine kryptografisch signierte Signatur enthält, die die Richtigkeit des Inhalts bestätigt(XMLDSIG). Und hier fangen die Dinge an, seltsam zu werden.

Um diese Nachrichtenvalidierung durchzuführen, verwenden ManageEngine-Produkte die Open-Source-API "Apache Santuario", die die Komplexität der XMLDSig-Spezifikation und den Prozess der Überprüfung des "Signature"-Abschnitts einer SAML-Antwort handhabt. In älteren Versionen dieser API gab es einen Fehler, der dazu führte, dass bestimmte Elemente dieses Signaturabschnitts verarbeitet und dekodiert wurden, bevor die Gültigkeit der gesamten "Signature"-Nachricht überprüft wurde.

Eines der Elemente im Abschnitt "Signatur", das vor der Validierung ausgeführt wird, umfasst die Möglichkeit, XSLT-basierte Transformationen (ein Turing-komplettes System zur Umwandlung eines Datentyps in einen anderen) an der Eingabe vorzunehmen. Und da ein Benutzer die SAML-Antwort ändern kann, bevor sie an die Webanwendung zurückgesendet wird, kann ein Angreifer eine XSLT-Injektion auf der Serverseite durchführen. Ein böswilliger Client kann eine XSLT-Nutzlast konstruieren, damit die Java-Laufzeitumgebung vom Server geladen und zur Ausführung eines Prozesses verwendet werden kann.

Wenn Sie sich für die Details dieser Schwachstelle und die bisherigen Untersuchungen zu diesem Thema interessieren, empfehlen wir Ihnen einen Beitrag des ursprünglichen Forschers(Archivlink). Dieser Link ist ein guter Ausgangspunkt für weitere Informationen über XSLT-Injection-Schwachstellen.

Ein Proof-of-Concept-Exploit wurde auf Github veröffentlicht, und die Ausnutzung der Schwachstelle ist äußerst trivial. Rapid7 hat berichtet, dass diese Schwachstelle in freier Wildbahn ausgenutzt wurde, und hat in seinem Blog mehrere Hinweise auf eine Kompromittierung veröffentlicht.

Censys Fundstücke

Obwohl sich die Empfehlung auf vierundzwanzig verschiedene ManageEngine-Produkte bezieht, konnte Censys online nur Verweise auf neun der Produkte finden und nur bei sieben die laufende Version ermitteln. Aus diesem Grund werden wir nur auf die Details der Produkte eingehen, die wir mit einer Versionsnummer verknüpfen konnten. Sie können alle gemeldeten Produkte in der Censys Suche mit dieser Abfrage finden .

Bevor wir auf die Einzelheiten der Versionen eingehen, hier eine Aufschlüsselung dieser Produkte nach Ländern, wobei die Vereinigten Staaten mit über tausend einzelnen Hosts den ersten Platz einnehmen.


Die obige Grafik gibt einen Überblick über die verschiedenen ManageEngine-Produkte und darüber, ob sie mit einer anfälligen Version der Software gefunden wurden. Unten sehen Sie eine Gesamtübersicht über die Gesamtzahl der verwundbaren und nicht verwundbaren Versionen der laufenden Produkte. Beachten Sie, dass wir diese Feststellung nur anhand der Versionsnummer im HTTP-Antwortkörper treffen, wir versuchen nie, einen tatsächlichen Angriff auf den Server durchzuführen.

Produkt Nicht verwundbare Hosts Gefährdete Hosts Hosts insgesamt
ManageEngine ServiceDesk Plus 1,748 (29.5%) 4,416 (70.5%) 6,164
ManageEngine ServiceDesk Plus MSP 173 (27.64%) 453 (72.36%) 626
ManageEngine SupportCenter Plus 492 (78.22%) 137 (21.78%) 629
ManageEngine ADManager Plus 143 (30.3%) 329 (69.7%) 472
ManageEngine AdAudit Plus 35 (29.91%) 82 (70.09%) 117
ManageEngine Asset Explorer 8 (10.53%) 68 (89.47%) 76
ManageEngine ADSelfService Plus 3 (60%) 2 (40%) 5
Insgesamt 2,602 5,487 8,089

 

ManageEngine ServiceDesk Plus

Top 10 der anfälligen Service Desk Plus-Versionen

Bei diesem Dienst handelt es sich um ein webbasiertes IT-Service-Management-System (ITSM), das in erster Linie für die Verwaltung von Tickets, Änderungen und Vorfällen verwendet wird. Dieses Produkt ist das bei weitem am häufigsten eingesetzte ManageEngine-Produkt, das Censys identifizieren konnte, mit mehr als sechstausend Hosts im Internet, die Anzeichen dafür aufweisen, dass es ausgeführt wird. Von diesen 6.164 Hosts haben wir festgestellt, dass über 70 % eine für diesen Angriff anfällige Version aufweisen.

Der Leser sollte beachten, dass der Dienst nur anfällig ist, wenn SAML-basiertes SSO mindestens einmal konfiguriert wurde, unabhängig vom aktuellen Status. Das heißt, wenn ein Administrator ihn jemals konfiguriert hat, ist er derzeit angreifbar.

Die Version ist im HTTP-Antwortkörper als Argument für die Javascript-Einbindung von "/scripts/Login.js" zu finden. Im folgenden Screenshot sehen wir zum Beispiel den Wert "10610".

 

Censys Search services.http.response.html_title="ManageEngine ServiceDesk Plus"
Version Regex r"\/scripts\/Login\.js\?([0-9]+?)'"
Anfällige Versionen 14003 und darunter

ManageEngine ServiceDesk Plus MSP

 

Top 10 anfällige Service Desk Plus MSP-Versionen

Dies ist derselbe Service wie ManageEngine ServiceDesk Plus, aber auf "Managed Service Provider" ausgerichtet.

 

Censys Search services.http.response.html_title="ManageEngine ServiceDesk Plus - MSP" 
Version Regex r"\/scripts\/Login\.js\?([0-9]+?)'"
Anfällige Versionen 13000 und darunter

ManageEngine SupportCenter Plus

 

Top 10 anfällige SupportCenter Plus-Versionen

ManageEngine SupportCenter Plus ist eine Kundenservice- und Supportsoftware, die Unternehmen bei der Verwaltung von Kundeninteraktionen und Serviceanfragen unterstützt.

Censys Search services.http.response.html_title="ManageEngine SupportCenter Plus"
Version Regex r"(select2|default-theme|scpimages)\.css\?([0-9]+)"
Anfällige Versionen 11017 bis 11025

ManageEngine ADManager Plus

Top 10 anfällige ADManager Plus-Versionen

ManageEngine ADManger Plus ist ein Tool zur Verwaltung und Berichterstellung von Active Directory.

 

Censys Search services.http.response.html_title="ManageEngine - ADManager Plus"
Version Regex r"(engine|ADMPAlert|DWRUtil|EmployeeSearch)\.js\?v=([0-9]+)"
Anfällige Versionen 7161 und darunter

 

ManageEngine ADAudit Plus

 

Die 10 anfälligsten ADAudit Plus-Versionen

ManageEngine ADAudit Plus bietet eine Echtzeit-Benachrichtigung über Änderungen in der Active Directory-Infrastruktur eines Unternehmens. Die Kompromittierung eines solchen Systems könnte einem Angreifer Zugang zu Sicherheits- und Compliance-Audits sowie zu internen Informationen über die Systeme und Netzwerke im Unternehmen verschaffen.

Censys Search same_service(services.http.response.html_title: "ADAudit Plus" und services.http.response.body: "ADAPLogin.js")
Version Regex r”js/ADAPLogin\.js\?v=([0-9]+)”
Anfällige Versionen 7080 und darunter

ManageEngine AssetExplorer

 

Die 10 anfälligsten AssetExplorer-Versionen

ManageEngine AssetExplorer ist ein webbasiertes Tool für die Infrastruktur- und Bestandsverwaltung. Neben der Nachverfolgung von Vermögenswerten können auch Kaufaufträge für neue Infrastruktur verwaltet werden.

Censys Search services.http.response.html_title="ManageEngine AssetExplorer"
Version Regex r"(select2|default-theme|loginstyle)\.css\?([0-9]+)"
Anfällige Versionen 6982 und darunter

 

ManageEngine ADSelfService Plus

ManageEngine ADSelfService Plus ist ein Tool, das den Benutzern einer Organisation die Möglichkeit bietet, ihre eigenen Passwörter zurückzusetzen und zu ändern. Die Kompromittierung eines solchen Systems könnte das gesamte Netzwerk in Gefahr bringen.

Die beiden einzigen anfälligen Versionen von ADSelfService Plus

 

Censys Search services.http.response.html_title="ADSelfService Plus"
Version Regex r"?buildNo=([0-9]+)"
Anfällige Versionen 6210 und darunter

ManageEngine Schlüsselverwaltung Plus

Censys Search services.http.response.body=”<script>window.location.href = \”/apiclient/index.jsp\”; </script>\n”
Version Regex K.A.
Anfällige Versionen 6400 und darunter

ManageEngine Passwort-Manager Pro

Censys Search services.tls.certificates.leaf_data.issuer.organizational_unit: "ManageEngine Password Manager Pro"
Version Regex K.A.
Anfällige Versionen 12123 und darunter

Was kann getan werden?

  • ManageEngine-Benutzern wird dringend empfohlen, ein Upgrade auf die neueste Softwareversion durchzuführen.
  • Censys ASM haben Kunden Zugang zu einem Risiko, das sowohl gefährdete als auch veraltete Versionen der folgenden Produkte identifiziert:
    • ManageEngine ServiceDesk Plus
    • ManageEngine ServiceDesk Plus MSP
    • ManageEngine SupportCenter Plus
    • ManageEngine ADManager Plus
    • ManageEngine ADAudit Plus
    • ManageEngine AssetExplorer
    • ManageEngine ADSelfService Plus

Über den Autor

Mark Ellzey
Senior Security Researcher Alle Beiträge von Mark Ellzey
Mark Ellzey ist ein leitender Sicherheitsforscher bei Censys. Vor seiner jetzigen Tätigkeit war Mark Ellzey über 22 Jahre lang als Netzwerksicherheitsingenieur und Softwareentwickler für verschiedene Internetdienstleister und Finanzinstitute tätig.
Lösungen für das Management von Angriffsflächen
Mehr erfahren