Κρίσιμη ευπάθεια ανάληψης λογαριασμού στο ManageEngine AD360

Η ManageEngine ανακοίνωσε μια κρίσιμη ευπάθεια που επιτρέπει την ανάληψη λογαριασμών σε περιβάλλοντα ταυτοποίησης όπου χρησιμοποιείται το AD360 ως κεντρική πλατφόρμα SSO. Η ευπάθεια, καταχωρημένη ως CVE-2026-11374, αφορά τον τρόπο δημιουργίας των SSO tickets και μπορεί να δώσει σε μη αυθεντικοποιημένους επιτιθέμενους τη δυνατότητα να προσποιηθούν χρήστες με δικαιώματα εντός του δικτύου.

Αυτή η ανακοίνωση προκαλεί ιδιαίτερη ανησυχία επειδή το AD360 χρησιμοποιείται συχνά για κεντρική διαχείριση ενεργού καταλόγου, αυτοεξυπηρέτηση κωδικών, auditing και διαχείριση Microsoft 365. Η δυνατότητα πρόβλεψης ή κατασκευής έγκυρων SSO tokens υπονομεύει το βασικό μοντέλο ενοποιημένης ταυτοποίησης και μπορεί να οδηγήσει σε ανεξέλεγκτη πρόσβαση σε κρίσιμα συστήματα.

Ποιο είναι το σφάλμα και πώς λειτουργεί

Το πρόβλημα εντοπίζεται στη διαδικασία δημιουργίας των SSO tickets που εκδίδει το AD360 όταν ένας χρήστης αυθεντικοποιείται κεντρικά και στη συνέχεια αποκτά πρόσβαση σε ενσωματωμένα προϊόντα. Αντί για τυχαίους και μη προβλέψιμους δείκτες, η υλοποίηση χρησιμοποιούσε ανεπαρκή τυχαιότητα ή ελαττωματική λογική σύνθεσης, κάτι που επέτρεψε σε ερευνητές να βρουν μοτίβα και να προβλέψουν έγκυρα tokens.

Με απλούστερα λόγια, αντί το token να λειτουργεί ως μοναδικό, αδιαμφισβήτητο «διαβατήριο» που παράγεται από ασφαλές PRNG και υπογραφή, μπορούσε να κατασκευαστεί ή να μαντευτεί από έναν επιτιθέμενο. Αυτό σημαίνει ότι ο επιτιθέμενος δεν χρειάζεται διαπιστευτήρια — αρκετό είναι να στείλει ένα έγκυρο SSO ticket προς τα ενσωματωμένα προϊόντα και το σύστημα θα το δεχτεί ως νόμιμη συνεδρία.

Η επιτυχημένη εκμετάλλευση επιστρέφει την ταυτότητα του χρήστη και τα δικαιώματά του (roles), οπότε σύμφωνα με τα δικαιώματα του λογαριασμού μπορεί να προκύψει πλήρης κατάληψη λογαριασμού και escalation privilegίων. Αυτή η φύση της ευπάθειας την καθιστά προ-αυθεντικοποίησης (pre-auth), δηλαδή ιδιαίτερα επικίνδυνη, επειδή επιτρέπει ενέργειες πριν καν ζητηθούν νόμιμα credentials.

Προϊόντα και εκδόσεις που επηρεάζονται

Η ManageEngine προχώρησε σε συγκεκριμένα fixes για τις ενσωματωμένες εφαρμογές που χρησιμοποιούν SSO μέσω AD360. Οι επηρεαζόμενες εκδόσεις και τα διορθωτικά builds είναι σαφώς οριοθετημένα από την εταιρεία, και η ενημέρωση είναι απαραίτητη για κάθε εγκατάσταση σε παραγωγή.

• ADSelfService Plus build 6528 και παλαιότερα — διορθώθηκε στο build 6529 (3 Ιουνίου 2026).
• RecoveryManager Plus build 6320 και παλαιότερα — διορθώθηκε στο build 6321 (5 Ιουνίου 2026).
• M365 Manager Plus build 4816 και παλαιότερα — διορθώθηκε στο build 4817 (10 Ιουνίου 2026).
• ADAudit Plus build 8702 και παλαιότερα — διορθώθηκε στο build 8703 (12 Ιουνίου 2026).

Αν ένα προϊόν χρησιμοποιείται ανεξάρτητα αλλά δεν έχει ενεργή ενσωμάτωση SSO μέσω AD360, ο κίνδυνος μπορεί να είναι μικρότερος. Ωστόσο σε περιπτώσεις όπου το AD360 λειτουργεί ως κεντρικός πάροχος ταυτοποίησης για πολλαπλές υπηρεσίες, η πιθανότητα αλυσιδωτών παραβιάσεων αυξάνεται σημαντικά.

Κίνδυνοι και πρακτικές συνέπειες στις επιχειρήσεις

Σε οργανισμούς όπου το AD360 διαχειρίζεται δικαιώματα Active Directory, την αυτοεξυπηρέτηση password και διαχείριση Microsoft 365, η ανεπιθύμητη πρόσβαση μπορεί να έχει πολλαπλές συνέπειες: από διαρροή ευαίσθητων δεδομένων μέχρι χειραγώγηση πολιτικών πρόσβασης και εγκατάσταση backdoors για μελλοντική κίνηση lateral movement.

Για παράδειγμα, ένας επιτιθέμενος που παίρνει τον έλεγχο ενός διαχειριστικού λογαριασμού στο AD360 μπορεί να τροποποιήσει δικαιώματα χρηστών, να επαναφέρει κωδικούς, ή να ξαναρχίσει τις ρυθμίσεις MFA, καθιστώντας την ανίχνευση και τον περιορισμό της επίθεσης πολύ δυσκολότερα.

Επιπλέον, επειδή το σφάλμα επιτρέπει τη λήψη της ταυτότητας του χρήστη και των ρόλων του, για οργανισμούς με αυστηρούς ρόλους-προσβάσεων, μια τέτοια παραβίαση μπορεί να μεταφραστεί σε άμεση οικονομική και λειτουργική ζημία, ειδικά εάν συμπεριλαμβάνεται πρόσβαση σε υπηρεσίες cloud όπως το Microsoft 365.

Τι έκανε η ManageEngine και τι πρέπει να κάνουν οι διαχειριστές

Η ManageEngine επιδιόρθωσε το σφάλμα ενισχύοντας τον τρόπο δημιουργίας των SSO tickets ώστε να περιλαμβάνει κατάλληλη τυχαιότητα και μη προβλέψιμες υπογραφές, αποτρέποντας έτσι την κατασκευή εικονικών tokens από τρίτους. Η εταιρεία έχει επίσης διανείμει ενημερωμένα builds για κάθε επηρεαζόμενο προϊόν και έχει δημοσιοποιήσει τις ημερομηνίες κυκλοφορίας τους.

Η αναφορά της ευπάθειας έγινε υπεύθυνα από τον ερευνητή 0xmanhnv μέσω του προγράμματος Zoho BugBounty, και η εταιρεία τον αναγνώρισε για τον εντοπισμό του προβλήματος. Αυτή η συνεργασία δείχνει τη σημασία των προγραμμάτων bug bounty ως συμπλήρωμα των εσωτερικών διαδικασιών ασφάλειας.

Οι διαχειριστές πρέπει να εφαρμόσουν τις service packs άμεσα και να επιβεβαιώσουν τη σωστή αναβάθμιση των builds. Η καθυστέρηση στην εγκατάσταση μπορεί να αφήσει την επιχείρηση εκτεθειμένη σε επιθέσεις που δεν απαιτούν διαπιστευτήρια. Επιπλέον, συνίσταται η επαλήθευση των ρυθμίσεων SSO, η ανανέωση των κλειδιών και των μυστικών που σχετίζονται με τον SSO provider και η επανεξέταση των πολιτικών session timeout.

Πώς να ελέγξετε και να ενισχύσετε την ασφάλεια του SSO σήμερα

Aν δεν είναι εφικτό να εγκατασταθεί άμεσα το patch, υπάρχουν προσωρινά μέτρα που μειώνουν τον κίνδυνο. Πρώτο, περιορίστε την πρόσβαση στο AD360 και τα ενσωματωμένα προϊόντα μέσω κανόνων δικτύου (IP allowlists) και VPN, ώστε να μειώσετε την επιφάνεια επίθεσης. Δεύτερο, ενεργοποιήστε ή ενισχύστε το MFA για όλα τα κρίσιμα προνόμια και τους διαχειριστικούς λογαριασμούς.

Οι ομάδες ασφαλείας πρέπει να αναζητήσουν στα logs ενδείξεις ασυνήθιστης SSO δραστηριότητας: επαναλαμβανόμενες απορρίψεις token, επιτυχείς συνδέσεις χωρίς αντίστοιχη παρουσίαση credentials, ή δημιουργία συνόδων από άγνωστες διευθύνσεις IP. Συστήνεται επίσης η αναζήτηση για πρόσφατες αλλαγές roles ή password resets σε ώρες μη εργασίας, καθώς και για νέες συνεδρίες που δεν συνοδεύονται από φυσικά events ταυτοποίησης.

Επιπλέον, οργανώστε άμεσα μηχανισμούς ειδοποίησης για ύποπτες ενέργειες και εφαρμόστε αρχές least-privilege: περιορίστε τα δικαιώματα τουλάχιστον σε όσους τα χρειάζονται πραγματικά και εφαρμόστε segmentation για να αποτρέψετε lateral movement σε περίπτωση επιτυχούς παραβίασης.

Τι σημαίνει για τους χρήστες και τις ομάδες ασφαλείας

Η περίπτωση του CVE-2026-11374 υπενθυμίζει πως η ασφάλεια ενός οικοσυστήματος ταυτοποίησης δεν εξαρτάται μόνο από ισχυρούς κωδικούς ή MFA, αλλά και από τη σωστή υλοποίηση των βασικών μηχανισμών έκδοσης tokens και session management. Τα προβλήματα στην κρυπτογραφική τυχαιότητα ή στην υπογραφή μπορούν να ακυρώσουν ακόμα και προηγμένες πολιτικές ασφαλείας.

Για τις ομάδες ασφαλείας, είναι κρίσιμο να ενσωματώσουν στον κύκλο συμβάντων την γρήγορη αξιολόγηση επιπτώσεων όταν κυκλοφορούν τέτοιες ενημερώσεις, να προετοιμάσουν playbooks αντιμετώπισης και να εξασφαλίσουν ότι τα incident response plans περιλαμβάνουν σενάρια SSO abuse. Από την πλευρά των τελικών χρηστών, η βασική οδηγία είναι να παρακολουθούν για ασυνήθιστες ειδοποιήσεις ανάκτησης λογαριασμού ή ειδοποιήσεις σύνδεσης και να αναφέρουν άμεσα οποιοδήποτε ύποπτο συμβάν.

Συνολικά, η επιδιόρθωση του προβλήματος από την ManageEngine είναι το πρώτο και πιο κρίσιμο βήμα, αλλά η πλήρης μείωση του κινδύνου απαιτεί συντονισμένες ενέργειες: άμεσο patching, ενίσχυση του monitoring, περιορισμό πρόσβασης και αναθεώρηση πολιτικών ταυτοποίησης σε όλο το εύρος των υπηρεσιών που εμπλέκονται.