ManageEngine Applications Manager 遠程代碼執行漏洞

綜述

近日，研究人員通過分析發現ManageEngine Applications Manager中存在一個嚴重的遠程代碼執行漏洞。漏洞源於可公開訪問的testCredential.do端點，在驗證用戶提供的憑證時可能導致遠程代碼執行。目前官方還沒有發布新版本進行修復。

詳情請參考如下鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7890

https://www.securityfocus.com/bid/103358

https://pentest.blog/advisory-manageengine-applications-manager-remote-code-execution-sqli-and/

漏洞概述

testCredential.do這個端點會接受多個用戶輸入，並通過訪問指定的系統來驗證提供的憑證。 該端點隨後會調用多個內部類，然後執行一個PowerShell腳本。如果指定的系統是OfficeSharePointServer，則傳給此腳本的用戶名和密碼參數會失效，從而引發潛在的命令注入，導致遠程代碼執行。

漏洞影響

因為Applications Manager多數用在內網環境下，直接被利用的範圍較小，但是，由於該漏洞有固定的請求地址，當攻擊者入侵進入企業內部網路後，可通過掃描的方式探測和發現，從而進行利用，控制存在漏洞的伺服器。

受影響的版本

●ManageEngine Applications Manager 13.5

解決方案

研究人員已經公開了exploit腳本，憑藉如metasploit等滲透工具，大規模的攻擊行為會隨之而來，請相關企業針對部署的ManageEngine Applications Manager應用增加監控和力度。可以通過判斷日誌記錄中是否存在異常的固定請求，如：/jsonfeed.do,/testCredential.do等，來進行攻擊排查。

同時，請受影響的用戶對ManageEngine官方保持關注，以便隨時更新進行修復。

參考鏈接：

https://www.manageengine.com/products/applications_manager/download.htm

聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。

由於傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。

如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用於商業目的。

關於綠盟科技

北京神州綠盟信息安全科技股份有限公司（簡稱綠盟科技）成立於2000年4月，總部位於北京。在國內外設有30多個分支機構，為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的安全順暢運行。

基於多年的安全攻防研究，綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域，為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易，股票簡稱：綠盟科技，股票代碼：300369。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！