Digital Defense a révélé plusieurs vulnérabilités dans des produits de ManageEngine

Des chercheurs de Digital Defense ont découvert plusieurs vulnérabilités potentiellement graves dans des produits de gestion de parc informatique de ManageEngine. L'exploitation de ces vulnérabilités permettrait à un attaquant de prendre le contrôle complet de l'application ciblée. Le fournisseur a publié des patchs pour corriger les failles.

Les vulnérabilités ont été identifiées sur les produits suivants :

  • ServiceDesk Plus ; 
  • OpManager ; 
  • Network Configuration Manager ; 
  • NetFlow Analyzer ; 
  • Firewall Analyzer ;
  • OpUtils.

Parmi les vulnérabilités identifiées, on note :

  • Une faille d’exécution de commandes à distance. Son exploitation s’appuie sur le téléchargement d’un Web Shell Javascript pour l’exécution de commandes avec des privilèges 'SYSTEM' ;
  • Plusieurs failles d’injection SQL. Leur exploitation permettrait à un attaquant non authentifié de prendre le contrôle complet d'une application et peut-être même de l'hôte sous-jacent ;
  • Une faille d’énumération de comptes utilisateurs. Son exploitation permettrait d’identifier des informations sur les utilisateurs (telles que les noms d'utilisateur, les adresses e-mail et les numéros de téléphone) ;
  • Une faille d’injection XML (XXE). Son exploitation permettrait à un attaquant non authentifié d'accéder au contenu des fichiers sur l'hôte exécutant des applications ManageEngine.

La première vulnérabilité porte uniquement sur la solution ServiceDesk Plus. Les autres affectent l’ensemble des produits cités plus haut.

ManageEngine a publié des mises à jour pour chaque application concernée. Les correctifs peuvent être téléchargés depuis le site Web de ManageEngine.