CVE-2021-20108

Manage Engine Asset Explorer Agent versão 1.0.34

O problema está relacionado a um vazamento de memória no Manage Engine Asset Explorer Agent. O agente escuta na porta 9000 por comandos recebidos via HTTPS do Manage Engine Server, mas não verifica certificados HTTPS, permitindo que qualquer usuário na rede envie comandos. Embora esses comandos possam não ser executados devido à validação do authtoken, o agente ainda entrará em contato com o servidor Manage Engine para uma solicitação HTTP. Durante esse processo, o programa aloca memória usando malloc, mas nunca a libera, causando um vazamento de memória. Além disso, a instrução enviada ao agente é convertida em uma string Unicode, mas nunca é liberada. Isso permite que um invasor remoto explore um cenário de Negação de Serviço enviando repetidamente comandos ao agente, eventualmente causando sua falha devido a uma condição de falta de memória.

Para o Manage Engine Asset Explorer Agent versão 1.0.34, considere desativar a capacidade do agente de escutar na porta 9000 até que um patch esteja disponível. Como solução temporária, restrinja o acesso ao agente para minimizar o risco de exploração. Evite enviar comandos repetitivos ao agente para prevenir a condição de falta de memória. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.