Aviso de seguridad

22 de diciembre de 2020

Este es un aviso de seguridad con respecto a una posible vulnerabilidad de omisión de autenticación en ServiceDesk Plus, que ha sido identificada y rectificada. Los usuarios locales de ServiceDesk Plus versión 10511 a 11133 que han habilitado la autenticación SAML se ven afectados por esta vulnerabilidad y se les recomienda actualizar a la última versión (11134) de inmediato .

Severidad : alta

Impacto:

Esta vulnerabilidad podría aprovecharse para iniciar sesión en una instalación de ServiceDesk Plus con privilegios administrativos para acceder a la información o cambiar las configuraciones de la mesa de servicio, los cuales pueden usarse para proporcionar acceso no autorizado a los datos del usuario o ayudar a ataques posteriores. Para hacerlo, un atacante necesitaría realizar dos pasos. Primero, necesitarían ingresar las credenciales de la cuenta de cualquier usuario de la mesa de servicio. Luego, tendrían que modificar el parámetro 'nombre de usuario' a otro nombre de usuario con privilegios administrativos después de la validación SAML. Esto requeriría que el atacante conociera tres piezas de información: las credenciales de usuario de cualquier cuenta de la mesa de servicio, el nombre de usuario de una cuenta de administrador y los detalles del dominio.

¿Qué llevó a la vulnerabilidad?

El proceso de verificación de seguridad utilizado por ServiceDesk Plus para autenticar el nombre de usuario y el dominio de usuario después de la validación SAML tenía una vulnerabilidad que hizo posible cambiar el parámetro 'nombre de usuario' después de la validación SAML.

Esta vulnerabilidad podría aprovecharse para iniciar sesión en una instalación de ServiceDesk Plus como administrador.

¿A quiénes afecta?

Esta vulnerabilidad afecta a los clientes de cualquier edición de ServiceDesk Plus (local) que utilizan las versiones 10511 a 11133 que tienen habilitada la autenticación SAML.

¿Cómo lo hemos arreglado?

Esta vulnerabilidad particular se ha abordado en ServiceDesk Plus 11134 mediante la corrección del mecanismo de verificación de seguridad de modo que la autenticación se produce con el nombre de usuario y los detalles del dominio almacenados de forma segura en lugar de los parámetros entrantes directos que se pueden manipular fácilmente.

Cómo saber si está afectado

Haga clic en el enlace Ayuda en la esquina superior derecha del cliente web ServiceDesk Plus. Seleccione la opción Acerca de en el menú desplegable para ver su versión actual. Si su versión actual está entre 10511 y 11133 y está utilizando la autenticación SAML, es posible que se vea afectado.

Que deben hacer los clientes

ServiceDesk Plus versiones 11100 a 11133

Descargue el paquete de actualización de https://www.manageengine.com/products/service-desk/service-packs.html y actualice inmediatamente a la última versión (11134).

ServiceDesk Plus versiones 10511 a 11010

Siga esta publicación del foro para obtener más actualizaciones. Alternativamente, puede actualizar a la última versión (11134) utilizando la ruta de migración adecuada aquí: https://www.manageengine.com/products/service-desk/on-premises/service-packs.html

Lea atentamente las instrucciones de actualización antes de comenzar la actualización. Para obtener ayuda, escriba a support@servicedeskplus.com o llámenos sin cargo al +1.888.720.9500.

Nota IMPORTANTE

Como siempre, haga una copia de toda la carpeta de instalación de ServiceDesk Plus antes de aplicar la actualización y guarde la copia en una ubicación separada. Si algo sale mal durante la actualización, tendrá esta copia como copia de seguridad, que mantendrá intactas todas sus configuraciones. Si está utilizando un servidor MS SQL como base de datos back-end, haga una copia de seguridad de la base de datos de ServiceDesk Plus antes de actualizar. Una vez que la actualización se haya completado con éxito, recuerde eliminar la copia de seguridad.

Ofrecemos nuestras más sinceras disculpas por cualquier inconveniente que esto pueda haberle causado. Si tiene alguna pregunta o inquietud, comuníquese con nosotros en support@servicedeskplus.com .

Saludos cordiales,
Umashankar
ManageEngine ServiceDesk Plus

11 de marzo de 2020

01 de febrero de 2018

Confiado por las mejores organizaciones del mundo