Kritikus Zoho RCE hibához érkezik javítás

Még ezen a héten Proof-of-Concept exploit kódot adnak ki egy kritikus sebezhetőségre, amely távoli kódfuttatást (RCE) tesz lehetővé hitelesítés nélkül több VMware termékben. A CVE-2022-47966 néven nyomon követett RCE biztonsági hiba egy elavult és sebezhető harmadik féltől származó függőség, az Apache Santuario használatának köszönhető.

Sikeres kihasználása lehetővé teszi fenyegetési szereplők számára, hogy hitelesítés nélkül tetszőleges kódot hajtsanak végre a ManageEngine szervereken, ha a SAML-alapú SSO bejelentkezés engedélyezve van vagy legalább egyszer engedélyezve volt a támadás előtt.

A sebezhető szoftverek listáján szinte az összes ManageEngine termék szerepel, azonban a Zoho 2022. október 27-től kezdve hullámokban már javította őket.

Bár még nem adtak ki technikai részleteket, és csak az IoC-ket osztották meg, amelyek segítségével megállapítható, hogy az egyes rendszerek veszélybe kerültek-e, a Horizon3 azt tervezi, hogy még ezen a héten publikálja a PoC exploitot.

A GreyNoise kiberbiztonsági cég szerint habár nem érhető el nyilvános jelentés a sebezhetőséget aktívan kihasználó támadásokról, azonban a motivált támadók valószínűleg gyorsan lépni fognak, ha a Horizon3 közzéteszi a PoC kódot.

A Horizon3 korábban a következőkhöz adott ki exploit kódot:

  • A Zoho ManageEngine ADAudit Plus kritikus sebezhetőséghez (CVE-2022-28219), amely lehetővé teszi a támadók számára az Active Directory fiókok kompromittálását,
  • egy kritikus hibához (CVE-2022-1388), amely távoli kódfuttatást tesz lehetővé az F5 BIG-IP hálózati eszközökben,
  • és egy több VMware terméket érintő kritikus hitelesítési megkerülési sebezhetőséghez (CVE-2022-22972), amely lehetővé teszi a fenyegetők számára adminisztrátori jogosultságok megszerzését.

A Zoho ManageEngine szervereit az elmúlt években folyamatosan támadások érték, a kínai kötődésű APT27 hackercsoporthoz hasonló taktikát és eszközöket használó hackerek 2021 augusztusa és októbere között vették célba őket.

A Desktop Central példányait 2020 júliusában szintén feltörték, a fenyegető szereplők pedig hackerfórumokon árulták a betört szervezetek hálózataihoz való hozzáférést.

Ezeket és más kampányokat követően az FBI és a CISA arra figyelmeztettek, hogy a támadók a ManageEngine hibáit kihasználva backdoorokat használnak ki kritikus infrastruktúrával rendelkező szervezeteknél.

(bleepingcomputer.com)