CVE-2022-47966

Zoho ManageEngine

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-01-23

Официальное описание

Multiple Zoho ManageEngine products contain an unauthenticated remote code execution vulnerability due to the usage of an outdated third-party dependency, Apache Santuario.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-47966 — это критическая уязвимость (CVSS 9.8), позволяющая неавторизованному злоумышленнику удаленно выполнить произвольный код (RCE) с правами системы (SYSTEM/root). Проблема вызвана использованием устаревшей библиотеки Apache Santuario (xmlsec) для обработки XML-подписей.

Уязвимость эксплуатируется путем отправки специально сформированного SAML-запроса (SAML Response) на endpoint системы. Если в настройках ManageEngine включена функция SAML Single Sign-On (SSO), злоумышленник может добиться выполнения кода без предварительной аутентификации.

Как исправить

Основным способом устранения является обновление продукта до версии, в которой библиотека Apache Santuario была обновлена или заменена.

  1. Определите текущую версию вашего продукта Zoho ManageEngine.
  2. Скачайте соответствующий Service Pack с официального сайта ManageEngine.
  3. Создайте резервную копию базы данных и директории установки перед обновлением.
  4. Остановите службу ManageEngine.
  5. Запустите мастер обновления (Update Manager) и примените патч.

Минимальные безопасные версии для популярных продуктов: - ServiceDesk Plus: 14003 - Endpoint Central: 10.1.2137.3 - ADManager Plus: 7140 - Password Manager Pro: 12101 - PAM360: 5501

Для проверки версии через PowerShell (пример для ServiceDesk):

Get-Content "C:\ManageEngine\ServiceDesk\bin\product.res"

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие компенсирующие меры контроля:

  1. Отключите SAML Single Sign-On (SSO) в настройках продукта. Это полностью блокирует вектор атаки, так как уязвимый код перестает вызываться.
  2. Ограничьте доступ к веб-интерфейсу ManageEngine на уровне сетевого экрана (Firewall/WAF), разрешив подключения только с доверенных IP-адресов администраторов.
  3. Изолируйте сервер в отдельном сегменте сети (VLAN), чтобы минимизировать риск горизонтального перемещения (Lateral Movement) в случае компрометации.
  4. Проверьте логи на наличие признаков эксплуатации (поиск специфических строк в access_log или необычных дочерних процессов у java.exe).

Команда для поиска подозрительных процессов в Windows:

Get-WmiObject Win32_Process | Where-Object { $_.ParentProcessId -eq (Get-Process -Name "java").Id } | Select-Object Name, CommandLine
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей