網絡安全和基礎設施安全局 (CISA) 已將影響大多數 Zoho ManageEngine 產品的遠程代碼執行 (RCE) 添加到已知在野外被利用的漏洞目錄中。
此安全漏洞被追踪為 CVE-2022-47966,並從 2022 年 10 月 27 日開始分多次修補。
如果在攻擊前至少啟用一次基於 SAML 的單點登錄 (SSO) 以執行任意代碼,則未經身份驗證的威脅參與者可以利用它。
上週,Horizon3 安全研究人員發布了一份包含概念驗證 (PoC) 漏洞利用代碼的技術分析,並對即將到來的“噴霧和祈禱”攻擊發出警告。
他們發現了超過 8,300 個暴露在互聯網上的 ServiceDesk Plus 和 Endpoint Central 實例,並估計其中大約 10% 也容易受到攻擊。
一天后,多家網絡安全公司警告稱,在線暴露的未打補丁的 ManageEngine 實例現在成為 CVE-2022-47966 攻擊的目標,用於打開反向 shell。
Rapid7 安全研究人員看到的開發後活動表明,攻擊者正在通過部署遠程訪問工具來禁用對後門受感染設備的實時惡意軟件保護。
從至少 10 個 IP 中為 CVE-2022-47966 未經身份驗證的 RCE 收集利用嘗試,影響多個 Zoho ManageEngine 產品(已啟用 SAML SSO)。
確保更新到 ManageEngine 公告中指定的固定版本 https://t.co/BIRlXnHkAT
— Shadowserver (@Shadowserver) 2023 年 1 月 19 日
敦促所有組織優先修補
根據在 2021 年 11 月。
在 2 月 13 日之前,聯邦機構有三週的時間來確保他們的網絡免受持續的剝削企圖。
雖然 BOD 22-01 僅適用於美國 FCEB 機構,但網絡安全機構也強烈敦促私營和公共部門的所有組織優先修補此漏洞。
“這種類型的漏洞是惡意網絡行為者的常見攻擊媒介,並對聯邦企業構成重大風險,”CISA 週一表示。
9 月,CISA 命令聯邦機構修補幾個 Zoho ManageEngine 產品中的另一個嚴重缺陷 (CVE-2022-35405),該缺陷允許在成功利用後未經身份驗證的遠程代碼執行。
Metasploit 模塊(有助於以 SYSTEM 用戶身份獲得 RCE)和針對 CVE-2022-35405 的概念驗證 (PoC) 漏洞利用代碼自 8 月以來已在線提供。
CISA 和 FBI 之前曾警告 (1, 2) 國家支持的團體正在利用 ManageEngine 漏洞來攻擊多個關鍵基礎設施領域的組織,包括金融服務和醫療保健。
如若转载,请注明出处:https://www.ozabc.com/it/534502.html