CVE-code.: CVE-2021-40539
Schweregrad.: Kritisch
Betroffene Versionen.: ADSelfService Plus bis zum Build 6113
Korrektur: ADSelfService Plus Build 6114 (07.09.2021)
Diese Seite enthält Details über die Schwachstelle sowie einen Plan zur Vorfallreaktion, falls Ihr System betroffen ist. Weitere Informationen zu den neuesten Updates und zur Timeline der Schwachstelle finden Sie hier. Sie haben Fragen zu dieser Schwachstelle? Sehen Sie sich unsere detaillierte FAQ-Seite an. Außerdem können Sie sich auf dieser Seite für eine kostenlose Prüfung auf Schwachstellen anmelden. Unser Notfall-Kundenservice führt Sie dann durch eine persönliche Sitzung, bei der das Tool manuell eingesetzt wird. Gemeinsam suchen wir nach Anzeichen für ein kompromittiertes System und beantworten alle Ihre Fragen.
Durch unsere Partnerschaft mit Veracode, einem unabhängigen Sicherheitsunternehmen, werden manuelle Penetrationstests an ADSelfService Plus vorgenommen, sodass wir aus der Sicht von Dritten auf die Sicherheitsaufnahmen der Lösung blicken können.
Wir wurden über eine Schwachstelle von REST-API-URLs in ADSelfService Plus benachrichtigt, durch die eventuell Remote-Code ausgeführt werden kann, wobei die Authentifizierung umgangen wird.
Die REST API URLs werden durch einen bestimmten Sicherheitsfilter in ADSelfService Plus authentifiziert.
Angreifer haben speziell zusammengestellte REST-API-URLs verwendet, um diesen Sicherheitsfilter zu umgehen, und nutzten dabei einen Fehler bei der Normalisierung der URLs vor der Validierung aus. So konnten die Angreifer auf REST-API-Endpunkte zugreifen und mit deren Hilfe nachfolgende Angriffe ausführen, darunter die willkürliche Befehlsausführung. Das folgende Flowchart zeigt eine Analyse davon, wie die Angreifer die Schwachstelle ausnutzen konnten.
Es gibt drei Möglichkeiten, zu testen, ob Ihre Installation betroffen ist:
Wir haben ein Tool zur Exploit-Erkennung entwickelt, mit dem Sie sehen können, ob Ihre Installation von dieser Schwachstelle betroffen ist. Sie können dieses Tool hier herunterladen. Nachdem Sie die Datei heruntergeladen haben, führen Sie die folgenden Schritte aus:
Wenn Sie manuell nach Protokollen suchen möchten, befolgen Sie die folgenden Schritte.
Suchen Sie im Ordner \ManageEngine\ADSelfService Plus\logs Zugriffsprotokolldateien mit dem Muster "access_log_<date>.txt" prüfen Sie, ob Einträge mit den nachfolgend aufgeführten Zeichenfolgen vorhanden sind:
Das Bild unten zeigt ein Beispiel für einen Zugriffsprotokolleintrag, der die oben erwähnten Zeichenfolgen enthält:
Suchen Sie im Ordner \ManageEngine\ADSelfService Plus\logs ugriffsprotokolldateien mit dem Muster "serverOut_<date>.txt" d prüfen Sie, ob ein Ausnahmefehler wie im Bild unten vorliegt:
Suchen Sie im Ordner map \ManageEngine\ADSelfService Plus\logs Zugriffsprotokolldateien mit dem Muster "adslog_<date>.txt" und prüfen Sie, ob Java-Traceback-Fehler mit Referenzen zu NullPointerException getS addSmartCardConfig of getSmartCardConfig vorliegen, wie in der folgenden Abbildung dargestellt:
Wenn Sie ADSelfService Plus 6113 oder eine ältere Version ausführen, und Ihr System betroffen sein sollte, dann müssten die folgenden Dateien im Installationsverzeichnis von ADSelfService Plus vorhanden sein:
Darüber hinaus wurden die folgenden IoCs von CrowdStrike am 22. Juni 2023 im Zusammenhang mit der Beobachtung einer Bedrohungsaktivität veröffentlicht, bei der der Verdacht besteht, dass sie CVE-2021-40539 ausnutzt.
Prüfung auf kompromittiertes System:
Ja ↓ | Nein ↓ |
1. Trennen Sie das betroffene System vom Netzwerk. | 1. Aktualisieren Sie ADSelfService Plus auf Build 6114, indem Sie diesen Servicepack anwenden. |
2. Erstellen Sie ein Backup der ADSelfService-Plus-Datenbank anhand dieser Schritte. | 2. Wenn Sie weitere Informationen benötigen, Fragen haben oder beim Aktualisieren von ADSelfService Plus mit Problemen konfrontiert sind, schreiben Sie uns einfach an adselfserviceplus-security@manageengine.com oder rufen Sie uns an unter +1.408.916.9890 (gebührenfrei). |
3. Formatieren Sie das kompromittierte Gerät.
|
|
4. Laden Sie ADSelfService Plus herunter und installieren Sie das Tool.
A. Die Build-Version der neuen Installation sollte mit der Version des Backups übereinstimmen. B. Wir empfehlen Ihnen dringend, für die neue Installation ein anderes Gerät zu verwenden. |
|
5. Stellen Sie den Backup wieder her und starten Sie den Server. | |
6. Wenn der Server läuft, verwenden Sie den Servicepack, um ADSelfService Plus auf den neuesten Build (6114) zu aktualisieren. | |
7. Prüfen Sie, ob unbefugt auf die Konten zugegriffen wurde bzw. ob Missbrauch betrieben wurde. Suchen Sie nach Beweisen lateraler Bewegung zwischen dem kompromittierten Gerät und anderen Geräten. Wenn irgendetwas auf kompromittierte Active-Directory-Konten hindeutet, initiieren Sie die Passwortzurücksetzung für diese Konten. | |
8. Wenn Sie weitere Informationen benötigen, Fragen haben oder beim Aktualisieren von ADSelfService Plus mit Schwierigkeiten konfrontiert sind, wenden Sie sich per E-Mail an unseren Notfall-Kundenservice unter: adselfserviceplus-security@manageengine.com oder rufen Sie uns an unter +1.408.916.9890 (gebührenfrei) |
Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.
Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!
Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.
Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.
Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.
Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.