Zoho ManageEngine kullanıcılarından, bir kavram kanıtlamasının yayınlanmasından önce bulut sunucularını kritik bir güvenlik açığına karşı düzeltme eki yapmaları isteniyor (PoC) yararlanma kodu.
Söz konusu mesele CVE-2022-47966eski bir üçüncü taraf bağımlılığı olan Apache Santuario’nun kullanımı nedeniyle birkaç ürünü etkileyen, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı.
Zoho, “Bu güvenlik açığı, kimliği doğrulanmamış bir düşmanın rasgele kod yürütmesine izin veriyor” dedi. uyardı SAML çoklu oturum açma (SSO) özelliğinin etkinleştirildiği veya geçmişte etkinleştirildiği tüm ManageEngine kurulumlarını etkilediğini belirten geçen yılın sonlarında yayınlanan bir danışma belgesinde.
Horizon3.ai, açıktan yararlanmayı ManageEngine ServiceDesk Plus ve ManageEngine Endpoint Central ürünlerine karşı başarılı bir şekilde yeniden üretebildiğini belirterek, kusurla ilişkili Tehlike Göstergelerini (IOC’ler) yayınladı.
Araştırmacı James Horseman, “Güvenlik açığından yararlanmak kolaydır ve saldırganların internet üzerinden ‘püskürtme ve dua etme’leri için iyi bir adaydır.” dedim. “Bu güvenlik açığı, NT AUTHORITYSYSTEM olarak uzaktan kod yürütülmesine izin vererek, temelde bir saldırgana sistem üzerinde tam denetim sağlar.”
San Francisco merkezli şirket, bu tür yüksek ayrıcalıklara sahip bir saldırganın, yanal hareket gerçekleştirmek amacıyla kimlik bilgilerini çalmak için onu silah haline getirebileceğini söyledi ve tehdit aktörünün, istismarı tetiklemek için özel hazırlanmış bir SAML isteği göndermesi gerekeceğini de sözlerine ekledi.
Horizon3.ai ayrıca SAML’nin etkin olduğu internete açık 1.000’den fazla ManageEngine ürünü bulunduğuna ve bunların potansiyel olarak kazançlı hedeflere dönüştüğüne dikkat çekti.
Bilgisayar korsanlarının, kötü amaçlı kampanyalar için büyük bir güvenlik açığı farkındalığından yararlanmaları alışılmadık bir durum değildir. Bu nedenle, SAML yapılandırmasından bağımsız olarak düzeltmelerin mümkün olan en kısa sürede yüklenmesi önemlidir.
Güncelleme: PoC İstismarı Yayınlandı
Horizon3.ai resmi olarak yayınlandı CVE-2022-47966 için bir açıktan yararlanma, birkaç Zoho ManageEngine ürününde bulunan ve bir rakibin kötü amaçlı bir SAML yanıtı içeren bir HTTP POST isteği göndererek uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığı.
Siber güvenlik şirketi Rapid7, en az 17 Ocak 2023’ten beri “CVE-2022-47966’nın kötüye kullanılmasından kaynaklanan çeşitli güvenlik ihlallerine yanıt verdiğini” açıkladı ve tehdit aktörleri, Microsoft Defender Antivirus gerçek zamanlı korumalarını devre dışı bırakmak için PowerShell komut dosyalarını bırakmak için kusuru silah haline getirdi. ve ek uzaktan erişim araçlarını indirin.
“Etkilenen ürünlerden herhangi birini kullanan kuruluşlar […] Rapid7 araştırmacısı Glenn Thorpe, istismar kodu herkese açık olduğundan ve istismar çoktan başladığından, acilen güncelleme yapmalı ve güvenlik açığı belirtileri için yama uygulanmamış sistemleri gözden geçirmelidir. dedim.