CVE-2019-8394

Zoho ManageEngine

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Zoho ManageEngine ServiceDesk Plus (SDP) contains an unspecified vulnerability that allows remote users to upload files via login page customization.

🛡️
Технический анализ и план устранения

Суть уязвимости

Удаленный злоумышленник может загрузить произвольные файлы (включая вредоносные веб-шеллы) через функционал кастомизации страницы входа (Customize Login Page) в веб-интерфейсе Zoho ManageEngine ServiceDesk Plus. Это происходит из-за недостаточной проверки загружаемых файлов. Эксплуатация уязвимости не требует аутентификации.

Как исправить

Установите патч, предоставленный вендором. Уязвимость устранена в следующих версиях: * ServiceDesk Plus (On-Premises): версия 9.4 (Build 9400) и выше. * ServiceDesk Plus MSP: версия 9.4 (Build 9401) и выше.

Порядок действий: 1. Скачайте последнюю версию (патч) с официального портала Zoho: https://www.manageengine.com/products/service-desk/readme.html 2. Остановите службы ManageEngine ServiceDesk Plus. 3. Запустите установщик обновления (.exe для Windows, .bin для Linux) с правами администратора/root. 4. Следуйте инструкциям мастера установки. 5. После завершения перезапустите службы.

Для Linux-систем пример команды для запуска установщика:

sudo ./ServiceDeskPlus_64bit.bin

Временное решение

Если немедленное обновление невозможно, выполните следующие шаги:

  1. Ограничьте доступ к веб-интерфейсу SDP:

    • Настройте правила брандмауэра/NSG, чтобы разрешить доступ к портам веб-интерфейса SDP (по умолчанию 8080, 8443) только с доверенных IP-адресов (например, из корпоративной сети или через VPN).
    • Пример правила iptables для ограничения доступа к порту 8080: bash iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j DROP

  2. Настройте WAF (Web Application Firewall):

    • Активируйте или настройте правила WAF для блокировки запросов, содержащих подозрительные паттерны загрузки файлов (например, с расширениями .jsp, .php, .asp) в URL или теле запроса к эндпоинтам, связанным с кастомизацией.
    • Пример мод-секьюрити правила для блокировки загрузки исполняемых веб-файлов: SecRule REQUEST_URI "@rx /.*/CustomizeLoginPage" \ "id:1001,phase:2,deny,status:403,msg:'Blocked file upload attempt to login page customization'"

  3. Отключите функционал кастомизации (если он не используется):

    • Через файл конфигурации или интерфейс администратора, если такая возможность предусмотрена, отключите модуль/опцию Customize Login Page.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей