CVE-2021-40539

Zoho ManageEngine

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Zoho ManageEngine ADSelfService Plus contains an authentication bypass vulnerability affecting the REST API URLs which allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может обойти аутентификацию в REST API Zoho ManageEngine ADSelfService Plus, отправив специально сформированный запрос. Это позволяет выполнить произвольный код на сервере с правами системной учетной записи службы, что ведет к полному контролю над системой.

Как исправить

Немедленно обновите ADSelfService Plus до исправленной версии, устраняющей CVE-2021-40539.

  1. Определите текущую версию: Перейдите в Настройки -> О программе в веб-интерфейсе вашего экземпляра.

  2. Загрузите и установите патч: Обновитесь до одной из следующих версий (или новее):

    • Версия 6.1: Обновитесь до 6.1.0 build 6112.
    • Версия 6.0: Обновитесь до 6.0.0 build 6009.

    Скачайте соответствующий установщик с официального сайта Zoho и выполните обновление.

  3. Процесс обновления (Linux, пример): ```bash # Остановите службу ADSelfService Plus sudo systemctl stop adselfserviceplus

    Сделайте резервную копию текущей установки и данных

    sudo cp -r /opt/ManageEngine/ADSelfServicePlus /opt/ManageEngine/ADSelfServicePlus_backup

    Запустите новый установщик (замените имя файла на актуальное)

    sudo ./ADSelfServicePlus_64bit.bin

    Запустите службу

    sudo systemctl start adselfserviceplus ```

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ: Настройте правила брандмауэра (например, iptables или групповые политики Windows), чтобы разрешить доступ к веб-порту ADSelfService Plus (обычно 8888) только с доверенных IP-адресов (например, подсети службы поддержки). bash # Пример iptables для разрешения доступа только из сети 10.0.1.0/24 sudo iptables -A INPUT -p tcp --dport 8888 -s 10.0.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8888 -j DROP

  2. Настройте WAF (Web Application Firewall): Разверните WAF (например, ModSecurity) перед сервером и активируйте правила для блокировки аномальных или подозрительных запросов к REST API (/RestAPI/).

  3. Отключите сервис: В крайнем случае, если система не используется критически, остановите службу до момента установки патча. bash sudo systemctl stop adselfserviceplus sudo systemctl disable adselfserviceplus

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей