800+ IT
News
als RSS Feed abonnieren📚 Zoho ManageEngine OpManager 12100/12200 EncryptPassword API Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in Zoho ManageEngine OpManager 12100/12200 gefunden. Es geht hierbei um eine unbekannte Funktion der Komponente EncryptPassword API. Dank der Manipulation des Arguments EncryptPassword mit der Eingabe %10 kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Verfügbarkeit.
Die Schwachstelle wurde am 20.11.2016 durch Michael Heydon als Multiple issues in OpManager 12100 & 12200 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) herausgegeben. Auf seclists.org kann das Advisory eingesehen werden. Eine Veröffentlichung wurde in Zusammenarbeit mit Zoho ManageEngine angestrebt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Michael Heydon geschrieben und sofort nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter seclists.org bereitgestellt. Es dauerte mindestens 92 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 12200 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Zoho ManageEngine hat demzufolge vorab gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 93732, 93733, 93734 und 93735.
CVSSv3
Base Score: 4.3 [?]Temp Score: 3.9 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:P/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P) [?]Temp Score: 3.1 (CVSS2#E:POC/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Michael Heydon
Download: seclists.org
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 92 Tage seit gemeldet
0-Day Time: 92 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Upgrade: OpManager 12200
Timeline
15.08.2016 Hersteller informiert17.08.2016 Hersteller bestätigt
15.11.2016 Gegenmassnahme veröffentlicht
20.11.2016 Advisory veröffentlicht
20.11.2016 Exploit veröffentlicht
21.11.2016 VulDB Eintrag erstellt
21.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Multiple issues in OpManager 12100 & 12200Person: Michael Heydon
Status: Bestätigt
Koordiniert: Ja
Siehe auch: 93732, 93733, 93734, 93735, 93736
Eintrag
Erstellt: 21.11.2016Eintrag: 79.8% komplett
...