Snelle links
- Offerte aanvragen
- Demo
Wachtwoord-selfservice
Multi-factor Authentication (MFA)
- Tweeledige verificatie voor Windows-aanmelding
- Verificatie van gebruikersidentiteit in ADSelfService Plus
SSO en wachtwoordsynchronisatie
Directory Self-Service
- Zoeken in adreslijst bedrijf/medewerkers
- Self-Service Active Directory-groepsabonnement
Veiligheid
- ADSelfService Plus tweeledige verificatie (2FA)

Beveiligingsadvies - Kwetsbaarheid door omzeilen verificatie van ADSelfService Plus

CVE-code.: CVE-2021-40539

Ernst.: Critical

Betrokken versies..: ADSelfService Plus builds up to 6113

Oplossing: ADSelfService Plus versie 6114 ( Sep 7, 2021)

Deze pagina geeft details over de kwetsbaarheid en een responsplan voor incidenten als uw systeem is beïnvloed. Voor meer informatie over de laatste updates en de tijdlijn van de kwetsbaarheid, kunt u deze pagina bezoeken. Vragen over deze kwetsbaarheid? Raadpleeg onze gedetailleerde pagina met Veelgestelde vragen. U kunt ook inschrijven voor een aanvullende kwetsbaarheidscontrole via deze pagina. Ons noodondersteuningsteam zal u helpen met een persoonlijke sessie en het handmatig uitvoeren hulpprogramma, controleren op compromisindicators en al uw vragen beantwoorden.

We werken samen met Veracode, een onafhankelijk bedrijf voor toepassingsbeveiliging, voor het handmatig uitvoeren van pentests op ADSelfService Plus zodat we het perspectief van derden krijgen over de beveiligingspositie van de oplossing.

Inleiding

We werden op de hoogte gebracht over een kwetsbaarheid bij het omzeilen van de verificatie in ADSelfService Plus wat de REST API URL’s kan beïnvloeden en dat kan resulteren in het uitvoeren van externe code.

Details

De Rest API URL’s worden geverifieerd door een specifieke beveiligingsfilter in ADSelfService Plus.

Aanvallers hebben speciaal uitgekiende Rest API-URL’s ontworpen die in staat waren deze beveiligingsfilter te omzeilen door een fout in het normaliseren van de URL’s vóór de validering. Dit gaf op zijn beurt aanvallers toegang tot REST API-eindpunten en ze hebben de eindpunten misbruikt voor het uitvoeren van daaropvolgende aanvallen, zoals het uitvoeren van een willekeurige opdracht. Het volgende stroomdiagram met analyse van het misbruik toont hoe de aanvallers misbruik hebben gemaakt van de kwetsbaarheid.

CVE-2021-40539 stroomschema misbruikanalyse

Hoe kan ik controleren of mijn installatie is beïnvloed?

Er zijn drie manieren om te controleren of uw installatie is beïnvloed:

1. Ons hulpprogramma voor de detectie van misbruik uitvoeren

We hebben een hulpprogramma voor de detectie van misbruik ontwikkeld dat u helpt te identificeren of uw installatie werd beïnvloed door deze kwetsbaarheid. U kunt het hulpprogramma hier downloaden. Volg deze stappen nadat u het bestand hebt gedownload:

Pak het hulpprogramma uit in de map \ManageEngine\ADSelfService Plus\bin.
Klik met de rechtermuisknop op het bestand RCEScan.bat en selecteer Uitvoeren als beheerder.
Een opdrachtpromptvenster wordt geopend en hulpprogramma zal een scan uitvoeren. Als uw installatie is beïnvloed, ziet u het volgende bericht:
“Resultaat: Uw ADSelfService Plus-installatie is beïnvloed door kwetsbaarheid bij het omzeilen van de verificatie.”

Als u handmatig wilt controleren op logboeken, kunt u de onderstaande stappen volgen.

2. Controleren op specifieke logboekvermeldingen

Toegangslogboeken
Zoek in de map \ManageEngine\ADSelfService Plus\logs naar de toegangslogboekbestanden met het patroon "access_log_<date>.txt" en controleer op gegevens die de onderstaande tekenreeksen bevatten:
1. /../RestAPI
2. /./RestAPI
De onderstaande afbeelding toont een voorbeeld van een vermelding in het toegangslogboek met de hierboven vermelde tekenreeksen:
ServerOut-logboeken
Zoek in de map \ManageEngine\ADSelfService Plus\logs naar de toegangslogboekbestanden met het patroon "serverOut_<date>.txt" en controleer op uitzonderingen zoals weergegeven in de onderstaande afbeelding:
ADS-logboeken
Zoek in de map \ManageEngine\ADSelfService Plus\logs naar de toegangslogboekbestanden met het patroon "adslog_<date>.txt" en controleer op Java-tracebackfouten die referenties bevatten naar NullPointerException in addSmartCardConfig of getSmartCardConfig zoals weergegeven in de onderstaande afbeelding:

3. Controleren op specifieke bestanden in het systeem

Als u ADSelfService Plus versie 6113 of lager uitvoert en als uw systeem werd beïnvloed, zal het de volgende bestanden hebben in de installatiemap ADSelfService Plus:

service.cer in de map \ManageEngine\ADSelfService Plus\bin.
ReportGenerate.jsp in de mappen \ManageEngine\ADSelfService Plus\help\admin-guide\Reports and \ManageEngine\ADSelfService Plus\webapps\adssp\help\admin-guide\reports.
adap.jsp in de map \ManageEngine\ADSelfService Plus\webapps\adssp\help\html\promotion.
bestanden custom.bat en custom.txt in de map C:\Users\Public\.

Incidentreactieplan

Controleren op inbreuk systeem:

- Ons hulpprogramma voor de detectie van misbruik uitvoeren

- Controleren op toegangslogboeken

- Controleren op specifieke bestanden in het systeem

↓
Is uw systeem gecompromitteerd?
↓

Ja ↓	Nee ↓
1. Koppel het betrokken systeem los van uw netwerk.	1. Voer een update uit naar ADSelfService Plus build 6114 met het servicepack.
2. Maak een back-up van de ADSelfService Plus-database met deze stappen..	2. Als u meer informatie nodig hebt, vragen hebt of problemen ondervindt bij het bijwerken van ADSelfService Plus, kunt u contact met ons opnemen via adselfserviceplus-security@manageengine.com of +1.408.916.9890 (gratis).
3. Formatteer de gecompromitteerde machine. Opmerking: Voordat u de machine formatteert, moet u ervoor zorgen dat u een back-up hebt gemaakt van alle kritieke bedrijfsgegevens.
4. Download en installeer ADSelfService Plus. A. De buildversie van de nieuwe installatie moet dezelfde zijn als deze van de back-up. B. Het is sterk aanbevolen een andere machine te gebruiken voor de nieuwe installatie.
5. Herstel de back-up en start de server.
6. Zodra de server is gestart, voert werkt u ADSelfService Plus bij naar de laatste build 6114 met het servicepack.
7. Controleer op onbevoegde toegang of het gebruik van accounts. Controleer ook op tekenen van laterale beweging van de gecompromitteerde machine naar andere machines. Als er enige aanwijzingen zijn van gecompromitteerde Active Directory-accounts, start u het opnieuw instellen van wachtwoorden voor die accounts.
8. Als u meer informatie nodig hebt, vragen hebt of problemen ondervindt bij het bijwerken van ADSelfService Plus, neemt u via de hotline contact op met onze noodondersteuning: adselfserviceplus-security@manageengine.com of +1.408.916.9890 (gratis nummer)

Ondersteuning aanvragen

Meer hulp nodig? Vul dit formulier in en wij nemen meteen contact met u op.