NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheid verholpen in Zoho ManageEngine
                  ServiceDesk plus
Advisory ID     : NCSC-2021-1032
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2021-44077
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Manipulatie van gegevens
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20211229
Toepassing      : Zoho ManageEngine ServiceDesk Plus
Versie(s)       : < 11305
Platform(s)     :

Update
   In dit beveiligingsadvies zijn twee verschillende en niet
   gerelateerde producten verwisseld. Het kwetsbare product betreft
   Zoho ManageEngine ServiceDesk Plus, in tegenstelling tot het eerder
   vermelde ADSelfService Plus. Het beveiligingsadvies is hierop
   aangepast en gebruikers van ADSelfService Plus kunnen de eerder
   ontvangen versies van dit advies verder negeren.

   Vanwege de beschikbaarheid van Proof-of-Conceptcode, in combinatie
   met meldingen van actief misbruik blijft de inschaling van dit
   beveiligingsadvies ongewijzigd HIGH/HIGH

Beschrijving
   Zoho ManageEngine heeft een kwetsbaarheid verholpen in ServiceDesk
   Plus. De kwetsbaarheid stelt een kwaadwillende op afstand in de
   gelegenheid tot het uitvoeren van willekeurige code of om toegang te
   krijgen tot gevoelige gegevens.

   De FBI, CISA en CGCYBER, hebben een gezamelijk beveiligingsadvies
   uitgebracht waarin zij aangeven dat de kwetsbaarheid actief wordt
   misbruikt en mogelijk ook door statelijke actoren. Meer informatie
   kunt u vinden op:

   https://us-cert.cisa.gov/ncas/alerts/aa21-336a

Mogelijke oplossingen
   Zoho ManageEngine heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen. Meer informatie kunt u vinden op onderstaande pagina:

   https://pitstop.manageengine.com/portal/en/community/topic
      /security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnera
      bility-in-servicedesk-plus-versions-up-to-11305-22-11-2021

   De oorspronkelijke kwetsbaarheid is reeds in september 2021
   verholpen. Zoho ManageEngine vraagt nu expliciet aandacht nu blijkt
   dat er actief misbruik is waargenomen. Zie ook:

   https://pitstop.manageengine.com/portal/en/community/topic
      /security-advisory-authentication-bypass-vulnerability-in-service
      desk-plus-versions-11138-and-above

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBYcw3y+Es56R4sCd0AQqDuQv+PUZln6yn7pScndouc9j8YUj5DUXpQoyn
ftF/J3MxaG+Wg5VtyC14gWgiQdcdwFQd/pVpt3IfNRNi81QZ4XUf7mbPrDg2tEmG
bj2pQ/DoV3smnXBx/1inTdO4e1ZWr1EP1mpc9th19gXEtwP0v4wZCkaxGfZq2fFa
E+oxnIdFo/YMNc8a8DOjh2l8Lt/qL8E/o70kKwthuN9lOTebCc5aOFQRei0nirzG
UrTDsd/dNviwTA+cVjarJCnSYmicg66Dbr/LWoGdxfCfgvy5Emy6cPoC//Q5NJSX
5AJ9bqcpRAaO6A4LJu4ZDwdssYInjUCALygiYcUasFfSxF6VHlm2BNsJc5iSUDq2
MTTOidLiIHsvGIzwR1bVyYW2SxYqC6Rtx/FTw97WIv4F6dEyqmIdo2QgypeUfp4/
SEPylybaH/JIt6WA5KHEIbh43aM80AV/pQrP16+htSXH+X8SX9rUV4w82bu/Otuj
pWQMWG+YVAnntaALBV3e7j2FmTpv6xSI
=cb5p
-----END PGP SIGNATURE-----