800+ IT
News
als RSS Feed abonnieren📚 Zoho ManageEngine OpManager 12100/12200 index.jsp Cross Site Scripting
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Zoho ManageEngine OpManager 12100/12200 wurde eine problematische Schwachstelle ausgemacht. Dabei geht es um eine unbekannte Funktion der Datei /apiclient/ember/index.jsp. Mit der Manipulation mit der Eingabe %3Cscript%3Ealert(%22XSS%22)%3B%3C%2Fscript%3E kann eine Cross Site Scripting-Schwachstelle (Reflected) ausgenutzt werden. Auswirkungen hat dies auf die Integrität.
Die Schwachstelle wurde am 20.11.2016 durch Michael Heydon als Multiple issues in OpManager 12100 & 12200 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) öffentlich gemacht. Bereitgestellt wird das Advisory unter seclists.org. Die Veröffentlichung passierte hierbei in Koordination mit Zoho ManageEngine. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Michael Heydon realisiert und sofort nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von seclists.org geschehen. Mindestens 92 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 12200 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Zoho ManageEngine hat demnach vorab gehandelt.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 93731, 93732, 93734 und 93735.
CVSSv3
Base Score: 4.3 [?]Temp Score: 3.9 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N) [?]Temp Score: 3.4 (CVSS2#E:POC/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Cross Site ScriptingLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Michael Heydon
Download: seclists.org
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 92 Tage seit gemeldet
0-Day Time: 92 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Upgrade: OpManager 12200
Timeline
15.08.2016 Hersteller informiert17.08.2016 Hersteller bestätigt
15.11.2016 Gegenmassnahme veröffentlicht
20.11.2016 Advisory veröffentlicht
20.11.2016 Exploit veröffentlicht
21.11.2016 VulDB Eintrag erstellt
21.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Multiple issues in OpManager 12100 & 12200Person: Michael Heydon
Status: Bestätigt
Koordiniert: Ja
Siehe auch: 93731, 93732, 93734, 93735, 93736
Eintrag
Erstellt: 21.11.2016Eintrag: 80.3% komplett
...