Horizon3 Attack Team’den siber güvenlik araştırmacıları, bir dizi VMware ürününde keşfedilen kritik bir güvenlik açığı için bir kavram kanıtı (PoC) istismarı yayınlamayı planladıklarını duyurdu.
Bir PoC’nin yayınlanması, siber suçluların bir kusurdan nasıl yararlanacaklarına dair kolay bir açıklama alacakları anlamına gelir ve bu da başarılı ihlallerde güçlü bir artışa neden olabilir.
Söz konusu kusur, CVE-2022-47966 olarak izleniyor; bu, tehdit aktörlerinin geçmişte bir noktada SAML tabanlı çoklu oturum açma (SSO) özelliğinin etkinleştirilmiş olduğu ManageEngine sunucularında uzaktan kod yürütmesine izin veriyor. özelliği kapatmak hiçbir şeyi çözmez). Araştırmacılar, güvenlik açığı bulunan uç noktaların Apache Santuario adlı eski bir üçüncü taraf bağımlılığı kullandığını belirterek, saldırganların kodu uzaktan çalıştırmak için kimlik doğrulaması yapmasına gerek olmadığını da sözlerine ekledi.
Püskürt ve dua et
Araştırmacılar, “Güvenlik açığından yararlanmak kolaydır ve saldırganların İnternet üzerinden ‘püskürtme ve dua etme’leri için iyi bir adaydır. Bu güvenlik açığı, NT AUTHORITYSYSTEM olarak uzaktan kod yürütülmesine izin verir ve temelde bir saldırgana sistem üzerinde tam kontrol sağlar.” .
“Bir kullanıcı güvenliğinin ihlal edildiğini belirlerse, saldırganın verdiği zararı belirlemek için ek araştırma yapılması gerekir. Bir saldırgan uç noktaya SİSTEM seviyesinde erişim sağladığında, saldırganlar büyük olasılıkla LSASS aracılığıyla kimlik bilgilerini boşaltmaya başlar veya erişim için mevcut genel araçlardan yararlanır. Yanal hareketi yürütmek için saklanan uygulama kimlik bilgileri.”
Neredeyse tüm ManageEngine ürünleri bu kusura karşı savunmasız olsa da, ana şirket Zoho’nun şimdiden bir yama yayınladığı söylendi.
Yama yapılmamış uç noktaları aramak için Shodan’ı kullanan araştırmacılar, “binlerce” savunmasız ManageEngine ürünü, ServiceDesk Plus ve Endpoint Central örneği buldu.
Şu anda, CVE-2022-47966’nın vahşi ortamda istismar edildiğine dair bir rapor yok, ancak BT yöneticileri güvenlik açığını zamanında yamamazsa, bu tür raporların er ya da geç yağmaya başlamasını bekleyebiliriz.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)