◆概要
2023 年 6 月に修正された、Zoho 社の ManageEngine ADManager Plus の脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています。管理用 Web コンソールへの認証に成功した攻撃者は、当該脆弱性を悪用して対象ホストへの侵入が可能です。ソフトウェアのアップデートなどにより対策してください。
◆分析者コメント
脆弱性は管理用 Web コンソールへの認証後にのみ悪用可能なものですが、内部ネットワークを管理するソフトウェアであるという性質上、弱い認証情報が設定されている可能性が高いと考えられます。製品の性質上、脆弱性を悪用できなくても、Active Directory ドメインネットワークに対する様々な攻撃が可能であるため、脆弱性の有無の確認に加えて、管理用 Web コンソールの認証情報の強化やアクセス元制御にも注意しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
7.2
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38743&vector=AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
バージョン 7200 よりも古い ManageEngine ADManager Plus が当該脆弱性の影響を受けると報告されています。
◆解説
Active Directory で構成されたドメインネットワークを管理するツールである Zoho 社の ManageEngine ADManager Plus に、遠隔コード実行の脆弱性が存在します。
脆弱性は、管理用 Web コンソールから利用できるサービスのインストール機能に存在します。当該機能を処理する関数では、平文のユーザ名やパスワードを使用する実装であり、パスワードに挿入された OS コマンドを実行してしまう脆弱性が存在します。管理用 Web コンソールへの認証に成功した攻撃者は ManageEngine ADManager Plus の機能により任意のドメインアカウントのパスワードを OS コマンドが挿入されたものに変更し、そのドメインアカウント名とパスワードを用いて当該機能の使用を要求すれば、任意の OS コマンドが実行可能となります。
◆対策
ManageEngine ADManager Plus のバージョンを 7200 またはそれよりも新しいバージョンにアップデートしてください。アップデートが難しい場合は、アクセス元の制限や、管理用 Web コンソールのアカウントの認証情報の強化により脆弱性への影響が低減できます。
◆関連情報
[1] ManageEngine 公式
https://www.manageengine.com/products/ad-manager/admanager-kb/cve-2023-38743.html
[2] Zero Day Initiative
https://www.zerodayinitiative.com/advisories/ZDI-23-1488/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-38743
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38743
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています、
GitHub - PetrusViet/CVE-2023-38743
https://github.com/PetrusViet/CVE-2023-38743/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
2023 年 6 月に修正された、Zoho 社の ManageEngine ADManager Plus の脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています。管理用 Web コンソールへの認証に成功した攻撃者は、当該脆弱性を悪用して対象ホストへの侵入が可能です。ソフトウェアのアップデートなどにより対策してください。
◆分析者コメント
脆弱性は管理用 Web コンソールへの認証後にのみ悪用可能なものですが、内部ネットワークを管理するソフトウェアであるという性質上、弱い認証情報が設定されている可能性が高いと考えられます。製品の性質上、脆弱性を悪用できなくても、Active Directory ドメインネットワークに対する様々な攻撃が可能であるため、脆弱性の有無の確認に加えて、管理用 Web コンソールの認証情報の強化やアクセス元制御にも注意しましょう。
◆深刻度(CVSS)
[CVSS v3.1]
7.2
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38743&vector=AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
バージョン 7200 よりも古い ManageEngine ADManager Plus が当該脆弱性の影響を受けると報告されています。
◆解説
Active Directory で構成されたドメインネットワークを管理するツールである Zoho 社の ManageEngine ADManager Plus に、遠隔コード実行の脆弱性が存在します。
脆弱性は、管理用 Web コンソールから利用できるサービスのインストール機能に存在します。当該機能を処理する関数では、平文のユーザ名やパスワードを使用する実装であり、パスワードに挿入された OS コマンドを実行してしまう脆弱性が存在します。管理用 Web コンソールへの認証に成功した攻撃者は ManageEngine ADManager Plus の機能により任意のドメインアカウントのパスワードを OS コマンドが挿入されたものに変更し、そのドメインアカウント名とパスワードを用いて当該機能の使用を要求すれば、任意の OS コマンドが実行可能となります。
◆対策
ManageEngine ADManager Plus のバージョンを 7200 またはそれよりも新しいバージョンにアップデートしてください。アップデートが難しい場合は、アクセス元の制限や、管理用 Web コンソールのアカウントの認証情報の強化により脆弱性への影響が低減できます。
◆関連情報
[1] ManageEngine 公式
https://www.manageengine.com/products/ad-manager/admanager-kb/cve-2023-38743.html
[2] Zero Day Initiative
https://www.zerodayinitiative.com/advisories/ZDI-23-1488/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-38743
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38743
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔コード実行を試行するエクスプロイトコードが公開されています、
GitHub - PetrusViet/CVE-2023-38743
https://github.com/PetrusViet/CVE-2023-38743/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
