CVE-2021-37415

IMMEDIATE ACTIONS:

1. Identify all instances of Zoho ManageEngine ServiceDesk Plus in your environment and document current versions

2. Isolate vulnerable instances from external network access immediately if patching cannot be completed within 24 hours

3. Review access logs for REST API endpoints (particularly /api/v3/ paths) for suspicious unauthenticated requests

4. Check for indicators of compromise: unusual API calls, data exports, or configuration changes



PATCHING GUIDANCE:

1. Upgrade all ServiceDesk Plus installations to version 11302 or later immediately

2. Apply patches in a staged approach: test environment first, then production during maintenance windows

3. Verify patch application by checking version numbers and testing authentication requirements on REST endpoints

4. Review Zoho's security advisories for any additional mitigations



COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement network-level access controls restricting ServiceDesk Plus REST API access to authorized IP ranges only

2. Deploy WAF rules blocking unauthenticated requests to /api/v3/ endpoints

3. Enable detailed logging and monitoring of all API access attempts

4. Implement rate limiting on API endpoints

5. Disable unnecessary REST API endpoints if business requirements allow



DETECTION RULES:

1. Monitor for HTTP requests to /api/v3/* endpoints without valid authentication tokens

2. Alert on successful API responses (HTTP 200) to REST endpoints from unauthenticated sources

3. Track unusual patterns in API endpoint access (bulk data retrieval, configuration changes)

4. Monitor for POST/PUT requests to sensitive endpoints like /api/v3/tickets, /api/v3/users, /api/v3/assets

5. Implement SIEM rules correlating multiple failed authentication attempts followed by successful unauthenticated API calls

الإجراءات الفورية:

1. حدد جميع نسخ Zoho ManageEngine ServiceDesk Plus في بيئتك وقم بتوثيق الإصدارات الحالية

2. عزل النسخ الضعيفة عن الوصول الخارجي للشبكة فوراً إذا لم يكن التصحيح ممكناً خلال 24 ساعة

3. راجع سجلات الوصول لنقاط نهاية REST API (خاصة مسارات /api/v3/) للطلبات المريبة غير المصرح بها

4. تحقق من مؤشرات الاختراق: استدعاءات API غير عادية أو تصدير البيانات أو تغييرات التكوين



إرشادات التصحيح:

1. قم بترقية جميع تثبيتات ServiceDesk Plus إلى الإصدار 11302 أو أحدث فوراً

2. طبق التصحيحات بطريقة مرحلية: بيئة الاختبار أولاً، ثم الإنتاج أثناء نوافذ الصيانة

3. تحقق من تطبيق التصحيح بفحص أرقام الإصدارات واختبار متطلبات المصادقة على نقاط النهاية

4. راجع استشارات أمان Zoho للحصول على أي تخفيفات إضافية



الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تطبيق ضوابط الوصول على مستوى الشبكة لتقييد وصول REST API لـ ServiceDesk Plus إلى نطاقات IP المصرح بها فقط

2. نشر قواعد WAF لحجب الطلبات غير المصرح بها إلى نقاط النهاية /api/v3/

3. تفعيل السجلات التفصيلية ومراقبة جميع محاولات الوصول إلى API

4. تطبيق تحديد معدل على نقاط نهاية API

5. تعطيل نقاط نهاية REST API غير الضرورية إذا سمحت متطلبات العمل



قواعد الكشف:

1. مراقبة طلبات HTTP إلى نقاط النهاية /api/v3/* بدون رموز مصادقة صحيحة

2. تنبيه الاستجابات الناجحة (HTTP 200) لنقاط النهاية من مصادر غير مصرح بها

3. تتبع الأنماط غير العادية في وصول نقاط النهاية (استرجاع البيانات بكميات كبيرة وتغييرات التكوين)

4. مراقبة طلبات POST/PUT إلى نقاط النهاية الحساسة مثل /api/v3/tickets و /api/v3/users و /api/v3/assets

5. تطبيق قواعد SIEM التي تربط محاولات المصادقة الفاشلة المتعددة متبوعة باستدعاءات API غير مصرح بها ناجحة