CVE-2025-11670: Zohocorp ManageEngine ADManager Plus 中未经授权参与者敏感信息暴露的漏洞 (CWE-200)

严重性：中等 类型：漏洞 CVE：CVE-2025-11670

Zohocorp ManageEngine ADManager Plus 8025 之前的版本存在 NTLM 哈希暴露 漏洞。 此漏洞仅可由启用了“模拟管理员”选项的技术人员利用。

AI 分析

技术总结

CVE-2025-11670 是在 Zohocorp 的 ManageEngine ADManager Plus（一款广泛使用的 Active Directory 管理工具）中发现的漏洞。该缺陷涉及将 NTLM 哈希（敏感的身份验证凭据）暴露给未经授权的参与者。具体来说，该漏洞归类于 CWE-200，即敏感信息暴露。利用此漏洞要求攻击者必须是启用了“模拟管理员”选项的技术人员，这意味着攻击者必须已经拥有系统内某种程度的特权访问权限。该漏洞不需要用户交互，并且可以远程利用 (AV:N)，攻击复杂度低 (AC:L)。作用域已更改 (S:C)，意味着该漏洞可能影响超出最初受侵害组件的资源。CVSS 3.1 基础评分为 6.4，反映了中等严重级别，主要归因于机密性影响 (C:L)，完整性影响有限 (I:L)，无可用性影响 (A:N)。尽管目前尚未报告有已知的野外利用，但 NTLM 哈希的暴露至关重要，因为这些哈希可用于哈希传递攻击或在网络内进一步提权。该漏洞影响 ADManager Plus 8025 之前的所有版本，但目前尚未提供官方补丁链接。使用此产品的组织应注意，如果拥有模拟权限的技术人员账户遭到入侵或被滥用，他们可能构成潜在的攻击媒介。

潜在影响

对于欧洲组织而言，NTLM 哈希的暴露可能导致重大的安全风险，尤其是在严重依赖 Active Directory 进行身份和访问管理的环境中。获得这些哈希访问权限的攻击者可以在企业网络内执行横向移动、权限提升或持久性访问。这对于金融、政府、医疗保健和关键基础设施等部门尤其令人担忧，因为这些部门中 Active Directory 是 IT 运营的基石。攻击者需要拥有模拟权限这一要求将风险限制在内幕威胁或受侵害的特权账户，但此类漏洞利用的潜在损害仍然很高。机密性泄露可能导致数据盗窃、对敏感系统的未经授权访问以及业务运营中断。鉴于欧洲企业的互联性质以及 GDPR 等法规要求，敏感凭据的暴露也可能导致合规违规和声誉损害。

缓解建议

欧洲组织应立即审查并限制 ManageEngine ADManager Plus 中的“模拟管理员”权限，仅授予最受信任且必要的人员。对拥有模拟权限的账户实施严格的访问控制和监控，以检测任何异常活动。采用网络分段和最小权限原则来限制潜在利用的范围。定期审核 Active Directory 及相关管理工具是否存在配置错误或权限过度的情况。由于目前没有关联的补丁，组织应与 Zohocorp 支持部门联系以获取更新或变通方案，并在可用时及时应用补丁。此外，考虑为特权账户部署多因素身份验证 (MFA)，并增强日志记录和警报机制以检测访问或导出 NTLM 哈希的尝试。开展内部安全意识培训以减轻内幕威胁，并确保技术人员了解与权限滥用相关的风险。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、比利时、瑞典、波兰、瑞士

来源： CVE 数据库 V5 发布日期： 2025年12月15日，星期一