Rapid7, bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2022-47966’nın kötüye kullanılmasından kaynaklanan birkaç güvenlik ihlali örneğine yanıt olarak harekete geçiyor.
Bu güvenlik açığı yaklaşık 24 şirket içi ManageEngine ürününü etkiliyor ve saldırganların herhangi bir kimlik doğrulaması olmadan hedef sistemde kod yürütmesine olanak tanıyarak etkilenen sistemlerin denetimini ele geçirmelerini kolaylaştıran ciddi bir tehdit.
Güvenlik araştırma şirketi Horizon3 araştırmacıları, siber güvenlik firması Rapid7 tarafından ilk istismar girişimlerinin gözlemlenmesinden iki gün önce, Salı günü açıktan yararlanma kodunu ve kusurun derinlemesine bir teknik analizini kamuya açıkladı.
Rapid7, 17 Ocak 2023’ten bu yana kuruluşlar genelinde istismar olgusunu gözlemledi. Rapid7 araştırma ekibinin testleri sırasında, araştırma ekibine göre bazı ürünlerin kullanılmasının diğerlerinden daha kolay olabileceğini buldular.
Rapid7, AttackerKB’de teknik bulgularına dayalı olarak CVE-2022-47966’nın ayrıntılı bir teknik analizini sunar.
Kritik ManageEngine Güvenlik Açığı
- CVE Kimliği: CVE-2022-47966
- Detaylar: Bu danışma belgesi, eski bir üçüncü taraf bağımlılığı olan Apache Santuario’nun kullanımı nedeniyle aşağıdaki ManageEngine OnPremise ürünlerinde bildirilen ve yama uygulanan, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığını ele alır.
- Etki: Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın yukarıdaki SAML SSO ölçütleri karşılandığında rasgele kod yürütmesine olanak tanır.
- önem derecesi: kritik
Etkilenen Ürünler
Aşağıda, etkilenen ürünlerin tam listesinden bahsetmiştik:-
- Erişim Yöneticisi Artı*
- Aktif Dizin 360**
- ADAudit Plus**
- AD Yöneticisi Artı**
- ADSelfService Plus**
- Analitik Artı*
- Uygulama Kontrolü Artı*
- Varlık Gezgini**
- Artı Tarayıcı Güvenliği*
- Cihaz Kontrolü Artı*
- Uç Nokta Merkezi*
- Uç Nokta Merkezi MSP*
- Uç nokta DLP*
- Anahtar Yöneticisi Artı*
- İşletim Sistemi Dağıtıcısı*
- 360*
- Parola Yöneticisi Pro*
- Yama Yöneticisi Artı*
- Uzaktan Erişim Artı*
- Uzaktan İzleme ve Yönetim (RMM)*
- ServiceDesk Plus**
- ServiceDesk Plus MSP**
- Destek Merkezi Plus**
- Güvenlik Açığı Yöneticisi Plus*
Etkin Güvenlik Açığı İstismarı
Rapid7, bazı müşterilerinin, bazı ManageEngine eşgörünümlerinde istismar sonrası faaliyetlerle sonuçlanan saldırılar nedeniyle ele geçirildiğini gözlemledi.
Kısacası, saldırganlar yalnızca ilk erişim elde etmek için güvenlik açığından başarıyla yararlanmakla kalmadı, aynı zamanda güvenliği ihlal edilmiş sistemler içinde çalışmaya devam etti.
Saldırganlar, Microsoft Defender gerçek zamanlı korumasını devre dışı bırakmak için saldırıyı gerçekleştirmek üzere PowerShell komut dosyalarını kullandı. Ayrıca, Defender’ın erişime izin vermeyeceği klasörler listesine C:/Users/Public klasörü de eklendi.
Windows Hizmet Ana Bilgisayarı hizmetleri kılığında uzaktan erişim araçları da dahil olmak üzere, tehdit aktörleri tarafından dağıtılan ek bir yük de vardı.
Kuruluşunuz ManageEngine’in danışma belgesinde yer alan bir ürünü kullanıyorsa ve siz onu güncellemediyseniz, bu ürünü hemen güncellemeniz ve yama uygulanmamış sistemlerin güvenliğinin ihlal edilmediğinden emin olmanız gerekir.
Kamuya açık hale geldikten sonra zaten bu istismar kodundan yararlanıldığı için.
Bu sorun, ManageEngine tarafından Ekim ve Kasım 2022’de bu ürünler için yamalar yayınlanarak giderildi. 19 Ocak 2023’te güvenlik şirketi Horizon3, konsept kanıtıyla birlikte teknik bilgiler de yayınladı.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin