更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全2月2日訊 網路安全公司Digital Defense的研究人員發現 ManageEngine 的企業級 IT 運維管理產品存在多個嚴重的漏洞, 包括未經身份驗證的檔上傳漏洞、盲目的SQL注入漏洞、遠端代碼執行漏洞和用戶枚舉漏洞。 ManageEngine已在其官網發佈漏洞補丁。
哪些應用程式受影響?
Zoho(卓豪)旗下ManageEngine主要提供網路、資料中心(IDC)、各類安全設備以及安全解決方案, 全球範圍內擁有數萬客戶, 其中包括財富500強公司。
受這些漏洞影響的應用程式包括:
ServiceDesk Plus;
Service Plus MSP;
OpManager網路監控產品;
Network Configuration Manager;
IP位址管理應用程式OpUtils;
頻寬監控和流量分析產品NetFlow Analyzer;
防火牆配置和日誌管理產品Firewall Analyzer。
未經身份驗證的檔上傳漏洞影響了ManageEnegine ServiceDesk Plus説明台軟體, 未經身份驗證的攻擊者可利用該漏洞上傳JavaScript Web Shell, 借助SYSTEM許可權執行任意命令。 受影響的應用程式為:ServiceDesk Plus MSP 9.3(Build 9302)和ServiceDesk Plus 9.3 (Build 9328)。
受SQL注入漏洞影響的應用SQL注入漏洞允許未經身份驗證的攻擊者完全控制應用程式,
OpManager 12.3 (Build 123002)
Firewall Analyzer 12.3 (Build 12.3.008)
Network Configuration Manager 12.3 (Build 12.3.008)
OpUtils 12.3 (Build 12.3.005)
NetFlow Analyzer 12.3 (Build 12.3.009)
這些應用程式還受到枚舉漏洞影響, 其允許攻擊者訪問使用者資訊, 例如用戶名、電子郵箱和電話號碼;受未經身份驗證的XML外部實體(XXE)注入漏洞影響, 允許攻擊者訪問運行ManageEngine應用程式的主機上的檔內容。
Digital Defense公司表示, ManageEngine迅速回應了漏洞報告, 並發佈了更新修復漏洞, 應用程式層面的漏洞仍是安全廠商關注的重點。
用戶可通過ManageEngine官網下載已打補丁的應用程式。