🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

ثغرة Zoho ManageEngine CVE-2021-40539 تُستغل بشكل نشط في البرية

أصدرت CISA مؤخرًا نصيحة حول الاستغلال النشط للثغرة الأمنية التي تم تحديدها حديثًا، CVE-2021-40539، في ManageEngine ADSelfService Plus
تم التحديث بتاريخ
April 17, 2026
تم النشر في
September 23, 2021
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئةذكاء نقاط الضعففئة نقاط الضعفتنفيذ التعليمات البرمجية عن بُعدغطاء الكهفCVE-2021-40539السيرة الذاتية: 3.0 درجة9.8أفضل #GREENReference* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability# https://en.wikipedia.org/wiki/Traffic_Light_Protocol

ملخص تنفيذي

  • أصدرت CISA مؤخرًا تقريرًا استشاريًا حول الاستغلال النشط للثغرة الأمنية التي تم تحديدها حديثًا، CVE-2021-40539، في ManageEngine ADSelfService Plus.
  • إدارة المحرك خدمة ADSelfService Plus عبارة عن حل متكامل لإدارة كلمات المرور بالخدمة الذاتية وتسجيل الدخول الأحادي لـ Active Directory والتطبيقات السحابية. تتأثر الإصدارات التي تصل إلى 6113 بهذه الثغرة الأمنية.
  • أصدرت زوهو التصحيح الخاص بالإصدار 6114 من برنامج ManageEngine ADSelfService Plus في 6 سبتمبر 2021، والذي يعمل على إصلاح هذه الثغرة الأمنية.
  • يمكن للجهات الفاعلة في مجال التهديد استغلال هذه الثغرة الأمنية لاختراق الشبكة الداخلية، مما يتسبب في تنفيذ التعليمات البرمجية عن بُعد و/أو تسريب المعلومات الحساسة.

التحليل

ManageEngine ADSelfService Plus هو برنامج إدارة إعادة تعيين كلمة مرور المستخدم النهائي آمن قائم على الويب. تعتبر مشكلة الأمان التي تم تحديدها على أنها CVE-2021-40539 حرجة لأنها تسمح لمهاجم بعيد وغير مصدق بتنفيذ تعليمات برمجية ضارة عشوائية على نظام ضعيف.هذه ثغرة في تجاوز المصادقة تؤثر على عناوين URL لواجهة برمجة تطبيقات REST والتي بدورها قد تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد (RCE). استنادًا إلى التصحيح الذي أصدرته Zoho، حدثت هذه الثغرة الأمنية بسبب خطأ تطبيع المسار.تطبيع المسار هي العملية التي يقوم فيها المبرمج بتعديل السلسلة التي تحدد المسار أو الملف بحيث تتوافق مع مسار صالح على نظام التشغيل الهدف. [معرف التسمية التوضيحية = «المرفق _17943" aligncenter» العرض = «579"]Code snippet used for path normalization مقتطف الشفرة المستخدم لتطبيع المسار [/caption]
تحديد ما إذا كان التثبيت الخاص بك متأثرًا
طورت ManageEngine أداة خاصة لتحديد ما إذا كان تثبيت AdSelfService Plus عرضة لخلل تجاوز المصادقة المذكور أعلاه.
  1. قم بتنزيل ملف ZIP هذا واستخرج محتواه إلى\ ماناجيإنجين\ ADSelfService Plus\ bin مجلد.
  2. انقر بزر الماوس الأيمن على ملف RCEScan.bat وقم بتشغيله كمسؤول.
  3. سيتم فتح نافذة موجه الأوامر. إذا تأثرت عملية التثبيت الخاصة بك، فستتلقى الرسالة التالية:
«النتيجة: يتأثر تثبيت AdSelfService Plus الخاص بك بثغرة تجاوز المصادقة.» [معرف التسمية التوضيحية = «المرفق _17944" aligncenter «العرض ="593"]Screenshot of the message displayed on a vulnerable installation لقطة شاشة للرسالة المعروضة على التثبيت الضعيف [/caption]
الخطوات التي يجب اتباعها في حالة اختراق التثبيت
بعد التأكد من تأثر التثبيت الخاص بك بالثغرة الأمنية، اتبع الخطوات أدناه لتصحيحها:
  • أولاً، افصل الجهاز الذي يحتوي على ADSelfService Plus من شبكتك.
  • قم بإنشاء نسخة احتياطية من قاعدة بيانات ADSelfService Plus من خلال هذه الخطوات.
  • بمجرد نسخ جميع البيانات المهمة للأعمال احتياطيًا بنجاح، قم بتهيئة الجهاز المخترق.
  • الآن، قم بالتنزيل مرة أخرى* وقم بتثبيت برنامج «إدارة المحرك» و «الخدمة الذاتية بلس».
  • بعد الانتهاء من التثبيت، قم باستعادة النسخة الاحتياطية وبدء تشغيل الخادم.
  • بمجرد تشغيل الخادم، استخدم حزمة الخدمة لترقية التثبيت إلى أحدث إصدار، وهو 6114.
  • افحص الحسابات بحثًا عن الوصول أو الاستخدام غير المصرح به. ابحث أيضًا عن علامات الحركة الجانبية من المعدات المعيبة إلى الأجهزة الأخرى. إذا كانت هناك أي مؤشرات تشير إلى تعرض حسابات Active Directory للاختراق، فأعد تعيين كلمات المرور الخاصة بها.
*ملاحظة:
  • تأكد من تنزيل EXE من نفس الإصدار الذي قمت بحفظ النسخة الاحتياطية له في الخطوة 2.
  • بدلاً من استخدام الجهاز المتأثر لهذا التثبيت الجديد، يُنصح بشدة باستخدام جهاز مختلف.

التأثير والتخفيف

تخفيف التأثير
  • يسمح تنفيذ التعليمات البرمجية عن بُعد للمهاجمين بالتحكم في النظام المستهدف.
  • قد يؤدي الوصول الأولي إلى نقطة نهاية الشركة إلى تمكين الحركات الجانبية في الشبكة الداخلية.
  • تستفيد الجهات الفاعلة من الدولة القومية من نقاط الضعف في يوم الصفر من جانب العميل لتهديد المعلومات، بينما تستخدم مجموعات برامج الفدية هذه الثغرات لابتزاز الأموال عن طريق تشفير بيانات المستخدم.
  • قم بتحديث ADSelfService Plus إلى أحدث إصدار، 6114 - http://csek.me/Ct0I
  • تأكد من أن ADSelfService Plus لا يمكن الوصول إليه مباشرة من الإنترنت.

المراجع

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد