Người dùng Zoho ManageEngine đang được khuyến khích vá các phiên bản của họ trước lỗ hổng bảo mật nghiêm trọng trước khi phát hành bằng chứng khái niệm (PoC) mã khai thác.
Vấn đề được đặt ra là CVE-2022-47966một lỗ hổng thực thi mã từ xa không được xác thực ảnh hưởng đến một số sản phẩm do sử dụng phần phụ thuộc bên thứ ba đã lỗi thời, Apache Santuario.
“Lỗ hổng này cho phép kẻ thù không được xác thực thực thi mã tùy ý”, Zoho đã cảnh báo trong một lời khuyên được đưa ra vào cuối năm ngoái, lưu ý rằng nó ảnh hưởng đến tất cả các thiết lập ManageEngine đã bật tính năng đăng nhập một lần (SSO) SAML hoặc đã bật tính năng này trong quá khứ.
Horizon3.ai hiện đã phát hành Các chỉ số thỏa hiệp (IOC) liên quan đến lỗ hổng, cho biết rằng nó có thể tái tạo thành công việc khai thác đối với các sản phẩm ManageEngine ServiceDesk Plus và ManageEngine Endpoint Central.
Nhà nghiên cứu James Horseman cho biết: “Lỗ hổng này rất dễ khai thác và là ứng cử viên sáng giá để những kẻ tấn công ‘phun và cầu nguyện’ trên internet. “Lỗ hổng này cho phép thực thi mã từ xa dưới dạng NT AUTHORITY\SYSTEM, về cơ bản giúp kẻ tấn công kiểm soát hoàn toàn hệ thống.”
Công ty có trụ sở tại San Francisco cho biết, kẻ tấn công sở hữu các đặc quyền cao như vậy có thể vũ khí hóa nó để đánh cắp thông tin đăng nhập với mục tiêu thực hiện chuyển động ngang, đồng thời cho biết thêm rằng kẻ đe dọa sẽ cần gửi một yêu cầu SAML được chế tạo đặc biệt để kích hoạt khai thác.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Horizon3.ai tiếp tục thu hút sự chú ý đến thực tế là có hơn 1.000 trường hợp sản phẩm ManageEngine xuất hiện trên internet với SAML hiện được kích hoạt, có khả năng biến chúng thành mục tiêu sinh lợi.
Không có gì lạ khi tin tặc khai thác nhận thức về một lỗ hổng lớn cho các chiến dịch độc hại. Do đó, điều cần thiết là các bản sửa lỗi phải được cài đặt càng sớm càng tốt bất kể cấu hình SAML.
Cập nhật: Khai thác PoC đã được phát hành
Horizon3.ai đã chính thức phát hành bản khai thác CVE-2022-47966, một lỗ hổng bảo mật nghiêm trọng trong một số sản phẩm Zoho ManageEngine cho phép kẻ thù thực thi mã từ xa bằng cách đưa ra yêu cầu HTTP POST chứa phản hồi SAML độc hại.
Công ty an ninh mạng Rapid7 tiết lộ rằng họ đang “đối phó với các thỏa hiệp khác nhau phát sinh từ việc khai thác CVE-2022-47966” kể từ ít nhất là ngày 17 tháng 1 năm 2023, với việc các tác nhân đe dọa vũ khí hóa lỗ hổng để loại bỏ các tập lệnh PowerShell nhằm vô hiệu hóa các biện pháp bảo vệ thời gian thực của Microsoft Defender Antivirus và tải xuống các công cụ truy cập từ xa bổ sung.
“Các tổ chức sử dụng bất kỳ sản phẩm nào bị ảnh hưởng […] nên cập nhật ngay lập tức và xem xét các hệ thống chưa được vá để tìm dấu hiệu xâm phạm, vì mã khai thác đã được công khai và việc khai thác đã bắt đầu,” nhà nghiên cứu Glenn Thorpe của Rapid7 cho biết.
