一個影響多個 Zoho ManageEngine 產品的關鍵遠程代碼執行 (RCE) 漏洞現在正在攻擊中被利用。
週二,網絡安全公司 Rapid7 發現了第一次利用嘗試,兩天前 Horizon3 安全研究人員發布了公開的利用代碼和對該漏洞的深入技術分析。
“Rapid7 正在應對因利用 CVE-2022-47966 而引起的各種危害,CVE-2022-47966 是一種預身份驗證遠程代碼執行 (RCE) 漏洞,至少影響 24 種本地 ManageEngine 產品,”威脅檢測公司表示。
“Rapid7 早在 2023 年 1 月 17 日 (UTC) 就觀察到跨組織的剝削。”
Shadowserver Foundation 的研究人員證實了這一點,他們表示他們“正在從至少 10 個 IP 中發現 CVE-2022-47966 未經身份驗證的 RCE 的利用嘗試,影響多個 Zoho ManageEngine 產品(啟用了 SAML SSO)。”
威脅情報公司 GreyNoise 也證實了他們的發現,該公司於上週(即 1 月 12 日)開始跟踪 CVE-2022-47966 漏洞利用嘗試。
GreyNoise 已檢測到 11 個 IP 地址,目標是暴露在互聯網上的 ManageEngine 實例容易受到 CVE-2022-47966 攻擊。
這些 IP 中至少有一個(即 221.226.159.22)分配給中國電信骨幹網上的一台 Linux 服務器,之前曾試圖破壞未針對 Log4shell 漏洞修補的服務器。
在受感染設備上的後期開發活動
在調查導致其部分客戶的 ManageEngine 實例遭到破壞的攻擊時,Rapid7 還觀察到了利用後的活動。
該公司表示,攻擊者正在使用 PowerShell 腳本禁用 Microsoft Defender 實時保護,並將 C:\Users\Public 文件夾添加到 Defender 的排除列表中。
威脅參與者還部署了額外的有效負載,包括偽裝成 Windows 服務主機服務的遠程訪問工具。
其中一個工具,名為 Chisel 的 Golang 協議隧道工具,類似於 Plink (PuTTY Link) 命令行連接工具,用於創建反向 ssh 隧道(可能打開遠程 shell 以繞過防火牆) .
在 ShadowServer 看到並與 BleepingComputer 分享的一次利用嘗試中,攻擊者使用 curl 從遠程服務器 (106.246.224[.]219/hlmllmo) 下載文件並執行。
很遺憾,該文件已不存在於服務器上,因此沒有關於其惡意行為的信息。
但是,該 IP 地址有使用 VMware 漏洞和 Log4Shell 缺陷在受感染設備上分發 Linux 後門的歷史。
“使用 ManageEngine 諮詢中列出的任何受影響產品的組織應立即更新並檢查未修補的系統是否存在妥協跡象,因為漏洞利用代碼是公開可用的並且利用已經開始,”Rapid7 警告說。
Horizon 發現了超過 8,300 個暴露在互聯網上的 ServiceDesk Plus 和 Endpoint Central 實例,並在估計大約 10% 的暴露實例也容易受到攻擊後警告“噴霧和祈禱”攻擊。
CISA 和 FBI 之前發布了聯合公告 (1, 2),警告國家支持的威脅行為者利用 ManageEngine 漏洞在多個關鍵基礎設施部門(包括醫療保健和金融服務)的組織網絡中投放網絡外殼。
如若转载,请注明出处:https://www.ozabc.com/it/534504.html