ADManager Plus Uygulamasında Kimlik Doğrulama Adımının Atlanmasına (“Authentication Bypass”) İlişkin Güvenlik Açığının Tespiti ve Çözümü

ManageEngine ADManager Plus uygulamasında REST API URL bağlantılarını etkileyen kimlik doğrulama adımının atlanmasına ilişkin güvenlik açığı yakın zamanda değerlendirilerek buna çözüm getirilmiştir. Bu makalede, söz konusu güvenlik açığı ele alınmakta ve çözüm adımları açıklanmaktadır.

Sorun nedir?

ADManager Plus uygulamasında REST API URL bağlantılarını etkileyen kimlik doğrulama adımının atlanmasına ilişkin bir güvenlik açığıdır.

Güvenlik açığından kimler etkilenmektedir?

ADManager Plus sürüm (build) 7111 ve daha eski sürümlerini kullanan müşteriler etkilenmektedir.

Bu güvenlik açığının önem derecesi nedir?

Bu güvenlik açığı, kritik bir güvenlik açığıdır.

Kurulumunu daha önce gerçekleştirdiğim uygulamanın etkilenip etkilenmediğini nasıl tespit edebilirim?

ManageEngine tarafından geliştirilen bir araçla, ADManager Plus kurulumunun söz konusu güvenlik açığından etkilenip etkilenmediğini kontrol edebilirsiniz. Kurulumunu yapmış olduğunuz uygulamanın güvenlik açığından etkilenip etkilenmediğini kontrol etmek için aşağıdaki adımları izleyerek aracı kurun ve ardından çalıştırın.

  • ZIP dosyasını buradancihazınıza indirerek dosya içeriğini <ADManager Plus kurulum dizini>\bin klasörü konumuna çıkartın.
  • batdosyası üzerine sağ tıklayarak ‘Yönetici olarak çalıştır’ seçeneğine tıklayın.
  • Herhangi bir kötüye kullanım ihtimali olduğu takdirde bir komut istemi penceresi açılacak ve ekranda aşağıdaki mesaj görüntülenecektir:

“ADManager Plus sunucusu kurulumunuzun kötüye kullanılmış olma ihtimali var. Lütfen ilgili kayıt (log) dosyalarınızı https://bonitas2.zohocorp.com adresine yükleyin ve Destek ekibimizle support@admanagerplus.com e-posta adresi üzerinden derhal iletişime geçin.”

Buna alternatif olarak, aşağıdaki işlem adımlarını izleyerek manuel olarak da belirli kayıt (log) girişlerini kontrol edebilirsiniz:

\ManageEngine\ADManager Plus\logs klasöründe, aşağıdaki dizgeler için erişim kaydı girişlerini arayın:

/../RestAPI/
/..;/RestAPI/
///RestAPI/
/./RestAPI

Kayıtlarda yukarıdaki girişlerden herhangi birini bulduğunuz takdirde ADManager Plus sunucusu kurulumunuzun kötüye kullanılmış olma ihtimali vardır.

Kurulumun kötüye kullanıldığını tespit ettiğim durumda ne yapmalıyım?

ADManager Plus kurulumunuzun kötüye kullanıldığını tespit ederseniz, aşağıdaki adımları izleyin:

  • ADManager Plus programının kurulu olduğu cihazın diğer tüm cihazlardan bağlantısını keserek izole bir ortam oluşturun.
  • ADManager Plus veri tabanını yedekleyin. ADManager Plus programını farklı bir cihaza indirin ve kurulumunu gerçekleştirin ve ardından veri tabanı yedeklemesini geri yükleyin. Bu işlemin adım adım nasıl gerçekleştirildiğini öğrenmek için bu sayfada “2. Yönteme” başvurun.
  • Sunucu işlevsel hale geldikten sonra, buradaki hizmet paketini kullanarak ürün sürümünü 7112 veya daha yüksek sürümüne yükseltin.
  • Çalışanlarınızın hesaplarında yetkisiz erişim veya kullanım olup olmadığını kontrol edin. Ayrıca, güvenlik açığından etkilenen cihazınız üzerinden; sisteminizin kurulu olduğu ortamdaki diğer cihazlarınıza herhangi bir yanal hareket olup olmadığına ilişkin belirtileri kontrol edin. Aktif Dizin hesaplarından herhangi birinin güvenlik açığından etkilenmiş olabileceğine ilişkin herhangi bir belirti olduğu durumda, ilgili hesapların şifrelerini sıfırlayarak yeni şifre belirleyin.