Global Preloader
Vulnerabilidad
(01/Feb/2018) Defectos graves afectan varios productos ManageEngine

Defectos graves afectan varios productos ManageEngine

Los investigadores de Digital Defense han descubierto varias vulnerabilidades potencialmente serias en los productos de administración de TI de ManageEngine, incluidas las que permiten a un atacante tomar el control completo de la aplicación afectada. El vendedor ha lanzado parches para corregir los defectos.

ManageEngine, propiedad de Zoho, ofrece soluciones de redes, centros de datos, equipos de escritorio y dispositivos móviles y soluciones de seguridad a más de 40,000 clientes, incluidas tres de cada cinco empresas de Fortune 500.

Uno de los defectos encontrados por Digital Defense afecta al software de escritorio de HelpDesk Plus de ManageEnegine. Una vulnerabilidad de carga de archivos no autenticados permite a un atacante cargar un shell web de JavaScript y usarlo para ejecutar comandos arbitrarios con privilegios de SYSTEM.

Los expertos también descubrieron varias vulnerabilidades de inyección ciega SQL que permiten a un atacante no autenticado tomar el control completo de una aplicación y posiblemente incluso del host subyacente.

Este tipo de fallas se han encontrado en el producto de monitoreo de red OpManager, el Administrador de configuración de red, el producto de análisis de tráfico y monitoreo de ancho de banda NetFlow Analyzer, Firewall Analyzer y la aplicación de administración de direcciones IP OpUtils.

Estos productos también se ven afectados por un problema de enumeración que puede aprovecharse para acceder a la información del usuario, como nombres de usuario, direcciones de correo electrónico y números de teléfono.

Un atacante podría obtener acceso al contenido de los archivos en el host que ejecuta aplicaciones ManageEngine aprovechando una vulnerabilidad de Entidad Externa XML (XXE) no autenticada.

Digital Defense dijo que ManageEngine respondió rápidamente a sus informes de vulnerabilidad y lanzó actualizaciones para cada una de las aplicaciones afectadas para abordar los agujeros de seguridad.

Digital Defense informó recientemente que descubrió la omisión de autenticación, la carga arbitraria de archivos y las vulnerabilidades de recorrido transversal que afectan a los productos de protección de datos de Dell EMC y VMware.