概念驗證利用代碼現在可用於多個 Zoho ManageEngine 產品中的遠程代碼執行 (RCE) 漏洞。
此預身份驗證 RCE 缺陷被跟踪為 CVE-2022-47966,源於使用 Apache Santuario 庫的過時且易受攻擊的版本。
如果基於 SAML 的單點登錄 (SSO) 在攻擊前至少啟用一次,則未經身份驗證的威脅參與者可以在成功利用後在 ManageEngine 實例上執行任意代碼。
存在漏洞的軟件幾乎包括所有 ManageEngine 產品,但從 2022 年 10 月 27 日開始,它們已經通過將第三方依賴項更新為安全版本的方式進行了多次修補。
| Access Manager Plus | 活動目錄 360 | 操作系統部署器 |
| ADAudit Plus | ADManager Plus | 密碼管理器專業版 |
| ADSelfService Plus | 分析增強版 | PAM 360 |
| 應用程序控制加強版 | 資源瀏覽器 | Patch Manager Plus |
| 瀏覽器安全增強版 | 設備控制增強版 | 遠程監控和管理 (RMM) |
| 端點中心 | 端點中心 MSP | 遠程訪問加強版 |
| 端點DLP | Key Manager Plus | ServiceDesk Plus |
| ServiceDesk Plus MSP | SupportCenter Plus | 漏洞管理器增強版 |
Horizon3 安全研究人員在周四警告 CVE-2022-47966 PoC 之後,今天早些時候發布了針對該漏洞的概念驗證 (PoC) 漏洞利用和技術分析 將於本週晚些時候上市。
“該漏洞允許攻擊者通過發出包含惡意 SAML 響應的 HTTP POST 請求來遠程執行代碼,”研究人員說。
“此 POC 濫用預身份驗證遠程代碼執行漏洞以使用 Java 的 Runtime.exec 方法運行命令,”他們補充道。
PoC 漏洞已針對 ServiceDesk Plus 和 Endpoint Central 進行了測試,Horizon3“預計此 POC 無需修改即可在許多與 ServiceDesk Plus 或 EndpointCentral 共享其部分代碼庫的 ManageEngine 產品上運行。”
Horizon3 之前發布了針對多個不同產品中其他關鍵安全漏洞的利用代碼,包括:
- CVE-2022-28219,Zoho ManageEngine ADAudit Plus 中的一個嚴重缺陷,可讓攻擊者破壞 Active Directory 帳戶,
- CVE-2022-1388,一個允許在 F5 BIG-IP 網絡設備中遠程執行代碼的嚴重漏洞,
- 和 CVE-2022-22972,這是多個 VMware 產品中的嚴重身份驗證繞過錯誤,可讓威脅行為者獲得管理員權限。
傳入的“噴霧和祈禱”攻擊
上週,Horizon3 研究人員還警告說,PoC 漏洞發布後可能會出現一波攻擊,因為“該漏洞很容易被利用,是攻擊者在互聯網上‘噴灑和祈禱’的良好候選者。”
他們發現數千台未打補丁的 ServiceDesk Plus 和 Endpoint Central 服務器通過 Shodan 在線暴露,估計有 10% 的檢測到的設備因為啟用了 SAML 而暴露在 CVE-2022-47966 攻擊之下。
雖然沒有關於利用此漏洞進行攻擊的報告,也沒有人試圖在野外利用它,但威脅參與者可能會迅速採取行動,根據 Horizon3 的 PoC 代碼開發自定義 RCE 漏洞。
近年來,出於經濟動機和國家支持的威脅組織大量針對 Zoho ManageEngine 服務器。
例如,威脅行為者還在 2020 年 7 月破壞了暴露在互聯網上的 Desktop Central 實例後,在黑客論壇上出售了對被破壞組織網絡的訪問權。
在 2021 年 8 月到 2021 年 10 月期間,他們成為了民族國家黑客策劃的一場活動的目標,他們使用的戰術、技術和程序 (TTP) 與中國 APT27 黑客組織類似。
在針對 ManageEngine 的這些攻擊和其他攻擊之後,CISA 和 FBI 發布了兩個聯合公告 [1, 2],以警告國家支持的攻擊者利用 ManageEngine 漏洞進入關鍵基礎設施組織的後門。
如若转载,请注明出处:https://www.ozabc.com/it/534519.html