ADSelfService Plus ナレッジベース

【重要】既知の脆弱性 CVE-2021-40539 について


ADSelfService PlusにおきましてRest API URLにおける認証回避の脆弱性(CVE-2021-40539)が確認されました。
本脆弱性につきましては、2021年9月9日リリースのビルド6110で修正しました。

本ナレッジでは、当該脆弱性の詳細について記載します。

※次の内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。

[Knowledge Base - Security Advisory - CVE-2021-40539]
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html

<目次>
脆弱性について
脆弱性の重要度
影響を受けるビルド
ユーザーへの影響
脆弱性の影響を確認する方法
対応方法
脆弱性の影響を受けていない場合でも

脆弱性について

REST API URLにおける認証回避の脆弱性により、リモートから任意のコードを実行される可能性があります。

脆弱性の重要度

本脆弱性をクリティカル(Critical)と評価しています。この脆弱性が既に悪用されている可能性があります。

影響を受けるビルド

日本向けにリリースしている6109以前のすべてのビルドが対象です。

(グローバル向けリリースでは、6113以前のすべてのビルドが対象です。)

ユーザーへの影響

攻撃者は特別に細工したリクエストを送信することで、Rest APIエンドポイントを介してADSelfService Plusへ不正アクセスできます。
これにより、攻撃者は後続のリモートコード実行(RCE)の攻撃を実行できます。

脆弱性の影響を確認する方法

<ADSelfService Plus_インストールディレクトリ>\logsフォルダーにある「access_log」ファイルにおいて
以下の2つのアクセスログエントリー(文字列)のいずれかが含まれているかをご確認ください。

  1. /RestAPI/LogonCustomization
  2. /RestAPI/Connection

「access_log」ファイル名の例:access_log_0

もし、上記2つのうちいずれかのエントリーが存在する場合、本脆弱性の影響を受けます。
また、ビルド6109以下を利用している場合、<ADSelfService Plus_インストールディレクトリ>に以下のファイルが存在しますと、
本脆弱性の影響を受けます。

  1. <ADSelfService Plus_インストールディレクトリ>\binにあるservice.cerファイル
  2. <ADSelfService Plus_インストールディレクトリ>\help\admin-guide\ReportsにあるReportGenerate.jspファイル

対応方法

ADSelfService Plusを最新ビルド(6110)にアップグレードしてください。

※脆弱性情報サイトではグローバル向けリリースの「ビルド6114」が修正されたビルドとして公開されています。
※日本向けリリースではビルド6110に本脆弱性の修正を含める形でリリースしています。ゾーホージャパンより
入手したビルド6110は本脆弱性に対する修正が含まれています。

詳細については以下のページをご参照ください。

[ビルド6110へのアップグレード方法]
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4200

[ADSelfService Plus 6.1 リリースノート]
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4077

脆弱性の影響を受けていない場合でも

本脆弱性は、ビルド6110のサービスパックが適用されていないADSelfService Plusで悪用される可能性があります。
そのため、上記の「脆弱性の影響を確認する方法」に該当しない場合でも、
ビルド6110へアップグレードをおこなってください。

 

2021年9月現在