CVE-2021-44077
Zoho ManageEngine ServiceDesk Plus (SDP) / SupportCenter Plus
2021-12-01
Zoho ManageEngine ServiceDesk Plus before 11306, ServiceDesk Plus MSP before 10530, and SupportCenter Plus before 11014 are vulnerable to unauthenticated remote code execution
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2021-44077) позволяет удаленному злоумышленнику выполнить произвольный код на сервере без аутентификации. Это достигается путем отправки специально сформированного HTTP-запроса к уязвимому компоненту приложения (например, через эндпоинты, связанные с установкой плагинов или загрузкой файлов).
Как исправить
Необходимо обновить продукт до защищенной версии: * ServiceDesk Plus — до версии 11306 или выше. * ServiceDesk Plus MSP — до версии 10530 или выше. * SupportCenter Plus — до версии 11014 или выше.
Процесс обновления (Linux, пример):
1. Скачайте патч или новую версию с официального портала Zoho.
2. Остановите службы ManageEngine:
bash
sudo systemctl stop ManageEngine_ServiceDesk
3. Создайте резервную копию текущей установки и базы данных.
4. Запустите установщик обновления или распакуйте новую версию поверх существующей (согласно инструкции Zoho).
5. Запустите службы:
bash
sudo systemctl start ManageEngine_ServiceDesk
Для Windows: Установите соответствующее обновление через официальный установщик от Zoho. Конкретный номер обновления KB не публикуется, используйте номера версий, указанные выше.
Временное решение
Если немедленное обновление невозможно, примените следующие меры:
1. Ограничьте доступ по сети: Настройте межсетевой экран (firewall) или группы безопасности (Security Groups) так, чтобы доступ к портам веб-интерфейса ManageEngine (обычно 80/TCP, 443/TCP) был разрешен только с доверенных IP-адресов (например, из внутренней сети компании или VPN).
2. Настройте WAF (Web Application Firewall): Добавьте правило, блокирующее запросы, содержащие в пути или параметрах строки, связанные с уязвимыми эндпоинтами (например, RestAPI, Plugin). Пример правила для ModSecurity:
SecRule REQUEST_URI "@contains /RestAPI/" "id:1001,deny,status:403,msg:'Block CVE-2021-44077 exploit attempt'"
3. Отключите ненужные функции: Если не используется функционал установки плагинов через интерфейс, проверьте возможность его отключения в настройках приложения (конкретный путь зависит от версии, см. документацию Zoho).