ManageEngine 重大安全漏洞修复

关键要点

• ManageEngine 出现的安全漏洞已被修复，但曾允许攻击者在其三个产品上执行任意代码。
• 280,000 个安装在 190 个国家的 ManageEngine 软件使其漏洞备受关注。
• 研究人员呼吁组织立即打补丁并评估潜在损害。

最近，安全研究人员发现了一个 ManageEngine 的漏洞，该漏洞可能允许攻击者在一些其密码和

的受影响安装上执行任意代码。ManageEngine 作为一款企业 IT 管理软件，其约 280,000 个安装分布在 190个国家，因此研究人员认为该漏洞是一次严重的事件。

在博客中指出，由于使用了脆弱版本的
Apache OFBiz——一个基于 Java 的
企业资源规划系统，远程攻击者可能在受影响的 ManageEngine安装上执行任意代码，包括其密码管理工具 Password Manager Pro、访问管理工具 PAM360 和 Access Manager Plus。

Muñoz 于 6 月 21日将此漏洞————报告给
ManageEngine，且当天即得到了确认。随后，他报告该漏洞在三天后发布的新版本中得以解决。

攻击者能够执行任意系统命令的风险极为严重，尤其是涉及到跨多个系统和应用程序的密码管理工具时，Viakoo 的首席执行官 Bud Broomhead表示。他建议组织应立即打补丁，并制定计划评估因系统数据篡改或密码受影响而造成的潜在损害。

“强制执行密码策略是许多组织面临的问题，而用于实现这一目标的工具存在漏洞只会使情况变得更糟，”Broomhead说。“这是一个呼吁，促使组织加快实施零信任架构及其他替代密码作为身份验证方法的方案。”

Vulcan Cyber 的高级技术工程师 Mike Parkin 指出，远程代码执行漏洞是令人担忧的，尤其是在不需要身份验证的情况下。Parkin表示，若漏洞影响了关键系统，如密码管理工具，则应尽快修补。

“这让人有些担忧，因为该漏洞源于 2020 年被识别并修补的问题，但显然在该应用程序中并未得到修正，”Parkin 说。“幸运的是，ManageEngine团队迅速响应，并且尽管存在针对基础漏洞的现有 PoC，但似乎没有证据表明此漏洞在实际环境中被利用。”