CVE-2022-35405
Zoho ManageEngine
2022-09-22
Zoho ManageEngine PAM360, Password Manager Pro, and Access Manager Plus contain an unspecified vulnerability that allows for remote code execution.
Технический анализ и план устранения
Суть уязвимости
CVE-2022-35405 представляет собой критическую уязвимость (CVSS 9.8), связанную с десериализацией ненадежных данных в компоненте Apache OFBiz, который используется в продуктах Zoho ManageEngine.
Уязвимость позволяет неавторизованному злоумышленнику выполнить произвольный код (RCE) на сервере с правами системы. Атака реализуется путем отправки специально сформированного POST-запроса на определенные эндпоинты (например, /xmlrpc), что приводит к выполнению вредоносных команд в контексте приложения.
Уязвимость затрагивает следующие продукты: * PAM360 (версии 5500 и ниже) * Password Manager Pro (версии 12100 и ниже) * Access Manager Plus (версии 4302 и ниже)
Как исправить
Основным способом устранения уязвимости является обновление программного обеспечения до актуальных версий, в которых уязвимый компонент Apache OFBiz был исправлен или отключен.
Шаг 1: Резервное копирование Перед установкой обновлений создайте резервную копию базы данных и папки установки приложения.
Шаг 2: Загрузка и установка Service Pack Необходимо скачать соответствующий пакет обновления (Service Pack) с официального сайта ManageEngine и применить его.
Для PAM360 (обновиться до 5510 или выше):
UpdateManager.bat
Для Password Manager Pro (обновиться до 12101 или выше):
UpdateManager.bat
Для Access Manager Plus (обновиться до 4303 или выше):
UpdateManager.bat
Шаг 3: Проверка версии После установки обновления убедитесь, что в интерфейсе приложения (раздел "About") отображается версия, в которой уязвимость устранена.
Временные меры
Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска эксплуатации:
1. Блокировка доступа к уязвимому эндпоинту
Настройте правила на Firewall, WAF или Reverse Proxy для блокировки всех входящих POST-запросов, содержащих в пути /xmlrpc.
2. Изоляция сервера Ограничьте доступ к портам управления ManageEngine (по умолчанию 8282, 9256 и др.) только доверенными IP-адресами администраторов.
3. Проверка индикаторов компрометации (IoC)
Проверьте логи доступа (access logs) на наличие подозрительных запросов к /xmlrpc. В системах Windows проверьте создание подозрительных дочерних процессов от имени java.exe.
4. Отключение неиспользуемых служб Если функционал XML-RPC не используется в вашей инфраструктуре, рекомендуется убедиться в его деактивации через конфигурационные файлы приложения (требует перезапуска службы).