CVE-2021-37415

Zoho ManageEngine ServiceDesk Plus (SDP)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-12-01

Официальное описание

Zoho ManageEngine ServiceDesk Plus before 11302 is vulnerable to authentication bypass that allows a few REST-API URLs without authentication

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправлять HTTP-запросы к определенным REST API URL (например, /api/v3/requests) без какой-либо аутентификации. Это позволяет: * Получать конфиденциальные данные (заявки, данные пользователей). * Создавать, изменять или удалять объекты в системе (например, заявки). * Получить контроль над приложением, комбинируя эту уязвимость с другими.

Как исправить

Необходимо обновить Zoho ManageEngine ServiceDesk Plus до версии 11302 или выше.

  1. Скачайте патч с официального портала Zoho:

    • Перейдите в раздел загрузок для ServiceDesk Plus.
    • Выберите версию 11302 или новее.

  2. Остановите службу SDP перед обновлением: ```bash # Для Linux (расположение может отличаться) sudo /opt/ManageEngine/ServiceDesk/bin/shutdown.sh

    Для Windows (через службы)

    net stop "ManageEngine ServiceDesk Plus" ```

  3. Запустите установщик обновления и следуйте инструкциям на экране.

  4. Проверьте версию после установки. Войдите в SDP как администратор и перейдите в Администрирование → Лицензия → О программе. Убедитесь, что номер сборки (Build Number) не ниже 11302.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к REST API:

  1. Настройте WAF (Web Application Firewall):

    • Добавьте правило для блокировки всех прямых запросов к /api/ (кроме доверенных IP-адресов администраторов).
    • Пример правила для ModSecurity (NGINX/Apache): SecRule REQUEST_URI "^/api/" "id:1001,deny,status:403,msg:'Block direct API access'"

  2. Используйте сетевой ACL (Access Control List):

    • На межсетевом экране разрешите доступ к порту веб-интерфейса SDP (обычно 80/TCP, 443/TCP) только из доверенных сетей (например, внутренней сети организации). Заблокируйте все внешние адреса.

  3. Измените конфигурацию веб-сервера (Apache/NGINX/IIS):

    • Добавьте правило для перенаправления или блокировки запросов к /api/v3/ для всех IP, кроме адресов администраторов.
    • Пример для NGINX: nginx location /api/ { allow 192.168.1.0/24; # Ваша доверенная сеть deny all; proxy_pass http://localhost:8080; # Порт SDP }
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей