Omisión de autenticación en productos ManageEngine

Fecha de publicación:

19/08/2022

Identificador:

INCIBE-2022-0889

Importancia:

5 - Crítica

Recursos afectados:

OpManager,
OpManager Plus,
OpManager MSP,
Network Configuration Manager,
NetFlow Analyzer,
Firewall Analyzer,
OpUtils.

Para estos productos, las versiones de builds concretos afectadas son:

desde 126113 hasta 126117,
desde 126100 hasta 126103,
126000 y 126001,
125664,
desde 125450 hasta 125656.

Descripción:

Se ha identificado una vulnerabilidad crítica en varios productos de ManageEngine que podría permitir a un atacante omitir el proceso de autenticación y acceder a API externas.

Solución:

El fabricante ha publicado las siguientes versiones para corregir esta vulnerabilidad:

126118,
126104,
126002,
125657.

Es muy aconsejable regenerar la APIKey para todos los usuarios una vez que se haya realizado la actualización.

Detalle:

El fallo específico se ubica en la función getUserAPIKey, concretamente debido a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Se ha asignado el identificador CVE-2022-36923 para esta vulnerabilidad.

Referencias:

Authentication Bypass - CVE-2022-36923

ManageEngine Network Configuration Manager getUserAPIKey Authentication Bypass Vulnerability

ManageEngine OpManager getUserAPIKey Authentication Bypass Vulnerability

ManageEngine NetFlow Analyzer getUserAPIKey Authentication Bypass Vulnerability

ManageEngine OpManager Plus getUserAPIKey Authentication Bypass Vulnerability

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Omisión de autenticación en productos ManageEngine

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal