CVE-2022-28810

Суть уязвимости

CVE-2022-28810 представляет собой критическую уязвимость в Zoho ManageEngine ADSelfService Plus, связанную с недостаточной фильтрацией входных данных при выполнении функций смены или сброса пароля.

Проблема заключается в возможности внедрения произвольных команд (Command Injection) через кастомные скрипты уведомлений или обработчики событий, которые запускаются после смены пароля. Злоумышленник, имеющий доступ к функционалу самообслуживания, может выполнить произвольный код с привилегиями системы (SYSTEM), что ведет к полному захвату сервера и потенциальному компрометированию всей среды Active Directory.

Как исправить

Основным способом устранения уязвимости является обновление продукта до версии 6122 или выше.

1. Определите текущую версию сборки (Build number) в интерфейсе ADSelfService Plus (раздел Help -> About).
2. Создайте резервную копию папки установки и базы данных.
3. Скачайте соответствующий Service Pack с официального сайта ManageEngine.
4. Остановите службу ADSelfService Plus:

net stop "ADSelfService Plus"

1. Запустите мастер обновления через командную строку из директории bin:

UpdateManager.bat

1. Установите скачанный патч и запустите службу:

net start "ADSelfService Plus"

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски следующими действиями:

1. Отключите выполнение кастомных скриптов (Custom Scripts) после смены/сброса пароля в настройках: Configuration -> Self-Service -> Policy Configuration -> Advanced -> Custom Scripts.

2. Ограничьте доступ к веб-интерфейсу ADSelfService Plus, разрешив подключения только из доверенных сегментов сети или через VPN.

3. Проверьте наличие подозрительных процессов, запущенных от имени java.exe или wrapper.exe, которые порождают cmd.exe или powershell.exe.

4. Настройте правила межсетевого экрана для блокировки исходящих соединений с сервера ADSelfService Plus в интернет, чтобы предотвратить загрузку полезной нагрузки или установку Reverse Shell.