Se insta a los usuarios de Zoho ManageEngine a parchear sus instancias contra una vulnerabilidad de seguridad crítica antes del lanzamiento de una prueba de concepto (PoC) código de explotación.
El asunto en cuestión es CVE-2022-47966una vulnerabilidad de ejecución remota de código no autenticado que afecta a varios productos debido al uso de una dependencia de terceros obsoleta, Apache Santuario.
«Esta vulnerabilidad permite que un adversario no autenticado ejecute código arbitrario», Zoho prevenido en un aviso emitido a finales del año pasado, señalando que afecta a todas las configuraciones de ManageEngine que tienen habilitada la función de inicio de sesión único (SSO) de SAML, o que la tenían habilitada en el pasado.
Horizon3.ai ahora ha publicado indicadores de compromiso (IOC) asociados con la falla, afirmando que pudo reproducir con éxito el exploit contra los productos ManageEngine ServiceDesk Plus y ManageEngine Endpoint Central.
«La vulnerabilidad es fácil de explotar y es un buen candidato para que los atacantes ‘rocíen y recen’ en Internet», dijo el investigador James Horseman. dicho. «Esta vulnerabilidad permite la ejecución remota de código como NT AUTHORITYSYSTEM, esencialmente dando al atacante un control completo sobre el sistema».
Un atacante en posesión de privilegios tan elevados podría convertirlo en un arma para robar credenciales con el objetivo de realizar un movimiento lateral, dijo la firma con sede en San Francisco, y agregó que el actor de amenazas deberá enviar una solicitud SAML especialmente diseñada para activar el exploit.
Horizon3.ai también llamó la atención sobre el hecho de que hay más de 1000 instancias de productos ManageEngine expuestos a Internet con SAML actualmente habilitado, lo que podría convertirlos en objetivos lucrativos.
No es raro que los piratas informáticos exploten el conocimiento de una vulnerabilidad importante para campañas maliciosas. Por lo tanto, es esencial que las correcciones se instalen lo antes posible, independientemente de la configuración de SAML.