【安全通报】ADSelfService Plus远程代码执行漏洞（CVE-2021-40539）

近日，ManageEngine发布安全公告，修复了 ADSelfService Plus 中的身份验证绕过漏洞。未经身份验证的攻击者可利用此漏洞在易受攻击的系统上执行任意代码。该漏洞目前已发现在野利用。

漏洞描述

ZOHO ManageEngine ADSelfService Plus是卓豪（ZOHO）公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。

CVE-2021-40539

Zoho ManageEngine ADSelfService Plus 6113 及更早版本存在 REST API 身份验证绕过漏洞，远程攻击者可以利用此漏洞来控制受影响的系统。

该漏洞CVSS评分：9.33，危害等级：严重

CVE 编号

CVE-2021-40539

FOFA 查询

app="ZOHO-ManageEngine-ADSelfService"

影响范围

影响版本：Zoho ManageEngine ADSelfService Plus <= 6113
修复版本：Zoho ManageEngine ADSelfService Plus 6114

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="ZOHO-ManageEngine-ADSelfService"）共有 3,153 个相关服务对外开放。美国使用数量最多，共有 1,524 个；新加坡第二，共有 586 个；英国第三，共有 117 个；加拿大第四，共有 99 个；澳大利亚第五，共有 82 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区福建使用数量最多，共有 16 个；北京第二，共有 9 个；上海第三，共有 9 个；浙江第四，共有 5 个；贵州第五，共有 3 个。

修复建议

将 ADSelfService Plus 更新到 6114 安全版本：https://www.manageengine.com/products/self-service-password/5311766/ManageEngine_ADSelfService_Plus_6_1_0_SP-1_4_0.ppm

检测系统是否受到漏洞影响
在 \ManageEngine\AdSelfService Plus\Logs文件夹中，搜索以下文件

1. /RestAPI/LogonCustomization
2. /RestAPI/Connection 

如果在日志中找到了这两个文件中的任何一个，则表示系统已受到影响。

此外，受影响的 AdSelfService Plus的安装文件夹下将包含以下文件：

1. \ManageEngine\ADSelfService Plus\bin\service.cer
2. \ManageEngine\ADSelfService Plus\help\admin-guide\Reports\ReportGenerate.jsp

参考

[1] https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

[2] https://www.bleepingcomputer.com/news/security/zoho-patches-actively-exploited-critical-adselfservice-plus-bug/

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。