Ngày 17 tháng 1 năm 2023Ravie Lakshmanan Đe dọa mạng / Lỗ hổng
Người dùng Zoho ManageEngine đang được khuyến khích vá các phiên bản của họ trước lỗ hổng bảo mật nghiêm trọng trước khi phát hành mã khai thác bằng chứng khái niệm (PoC).
Vấn đề được đặt ra là CVE-2022-47966một lỗ hổng thực thi mã từ xa không được xác thực ảnh hưởng đến một số sản phẩm do sử dụng phần phụ thuộc bên thứ ba đã lỗi thời, Apache Santuario.
“Lỗ hổng này cho phép kẻ thù không được xác thực thực thi mã tùy ý”, Zoho đã cảnh báo trong một lời khuyên được đưa ra vào cuối năm ngoái, lưu ý rằng nó ảnh hưởng đến tất cả các thiết lập ManageEngine đã bật tính năng đăng nhập một lần (SSO) SAML hoặc đã bật tính năng này trong vừa qua.
Horizon3.ai hiện đã phát hành Các chỉ số thỏa hiệp (IOC) liên quan đến lỗ hổng, cho biết rằng nó có thể tái tạo thành công việc khai thác đối với các sản phẩm ManageEngine ServiceDesk Plus và ManageEngine Endpoint Central.
Nhà nghiên cứu James Horseman cho biết: “Lỗ hổng này rất dễ khai thác và là ứng cử viên sáng giá để những kẻ tấn công ‘phun và cầu nguyện' trên internet. “Lỗ hổng này cho phép thực thi mã từ xa dưới dạng NT AUTHORITY\SYSTEM, về cơ bản giúp kẻ tấn công kiểm soát hoàn toàn hệ thống.”
Công ty có trụ sở tại San Francisco cho biết, kẻ tấn công sở hữu các đặc quyền cao như vậy có thể vũ khí hóa nó để đánh cắp thông tin đăng nhập với mục tiêu thực hiện chuyển động ngang, đồng thời cho biết thêm rằng kẻ đe dọa sẽ cần gửi một yêu cầu SAML được chế tạo đặc biệt để kích hoạt khai thác.
Horizon3.ai tiếp tục thu hút sự chú ý đến thực tế là có hơn 1.000 trường hợp sản phẩm ManageEngine xuất hiện trên internet với SAML hiện được kích hoạt, có khả năng biến chúng thành mục tiêu sinh lợi.
Không có gì lạ khi tin tặc khai thác nhận thức về một lỗ hổng lớn cho các chiến dịch độc hại. Do đó, điều cần thiết là các bản sửa lỗi phải được cài đặt càng sớm càng tốt bất kể cấu hình SAML.
