20 Ocak 2023’ten bu yana, çeşitli Zoho ManageEngine ürünlerinde önemli bir güvenlik açığından yararlanan kötü niyetli varlıkların gözlemlendiği birkaç örnek olmuştur.
Söz konusu güvenlik açığı, Bitdefender’daki güvenlik analistleri tarafından CVSS puanı 9.8 ile “CVE-2022-47966” olarak izlendi ve “Kritik” olarak işaretlendi.
Bu kusurun bir sonucu olarak, kimliği doğrulanmamış saldırganlar, bir RCE kusuru olduğu için uzaktan kod yürüterek hassas sistemlerin kontrolünü tamamen ele geçirebilecekler.
Etkilenen Ürünler
Şu anda, bu güvenlik açığına eğilimli toplam 24 farklı Zoho ManageEngine ürünü bulunmaktadır. Aşağıda, yamalı sürümleriyle birlikte bunlardan bahsettik: –
- Erişim Yöneticisi Artı (4308)
- Aktif Dizin 360 (4310)
- ADAudit Artı (7081)
- AD Yöneticisi Artı (7162)
- ADSelfService Plus (6211)
- Analitik Artı (5150)
- Uygulama Kontrolü Artı (10.1.2220.18)
- Varlık Gezgini (6983)
- Tarayıcı Güvenliği Artı (11.1.2238.6)
- Cihaz Kontrolü Artı (10.1.2220.18)
- Uç Nokta Merkezi (10.1.2228.11)
- Uç Nokta Merkezi MSP (10.1.2228.11)
- Uç nokta DLP (10.1.2137.6)
- Anahtar Yöneticisi Artı (6401)
- İşletim Sistemi Dağıtıcısı (1.1.2243.1
- PAM 360 (5713)
- Parola Yöneticisi Pro (12124)
- Yama Yöneticisi Artı (10.1.2220.18)
- Uzaktan Erişim Artı (10.1.2228.11)
- Uzaktan İzleme ve Yönetim (RMM) (10.1.41)
- ServiceDesk Artı (14004)
- ServiceDesk Plus MSP (13001)
- Destek Merkezi Artı (11026)
- Güvenlik Açığı Yöneticisi Plus (10.1.2220.18)
Bu güvenlik açığı, kötü niyetli aktörler tarafından kötüye kullanılabilen, XML imza doğrulaması için eski bir üçüncü taraf bağımlılığı olan Apache Santuario’nun kullanımına atfedilir.
Sömürü faaliyetlerinin, sızma testi şirketi Horizon3.ai tarafından geçen ay bir kavram kanıtı (PoC) yayınlamasının ertesi günü başladığı iddia edildi.
Saldırı Kurbanlarının Coğrafi Konumu
Saldırıların kurbanlarının çoğunun aşağıdaki ülkelerden olduğu bildirildi: –
- Avustralya
- Kanada
- İtalya
- Meksika
- Hollanda
- Nijerya
- Ukrayna
- Birleşik Krallık
- Birleşik Devletler
Son keşiflere dayanarak, mevcut saldırı dalgasının, aşağıdakiler gibi özel araçlar yüklemek amacıyla öncelikle savunmasız ana bilgisayarları hedeflediği görülüyor:-
- netcat
- Kobalt Saldırı İşareti
Bazı ihlallerde kullanılan ilk erişim, ağa uzaktan erişim sağlayan bir program olan AnyDesk yazılımını yüklemek için kullanıldı.
Kötü şöhretli Buhti fidye yazılımı türünün Windows sürümleri diğer ihlallerde istismar edilirken. Ayrıca, mevcut kanıtlar, kötü niyetli aktörlerin kesin olarak hedeflenmiş bir casusluk kampanyasının parçası olarak ManageEngine güvenlik açığından yararlandıklarını güçlü bir şekilde göstermektedir.
Saldırganlar, saldırının sonraki aşamalarını yürütebilecek kötü amaçlı yazılımları dağıtmak için bu zayıflığı bir saldırı vektörü olarak kullandılar.
Toplamda, tüm operasyon dört saldırı kümesini içerir ve burada bunlardan bahsetmiştik: –
- Küme 1 – İlk Erişim Aracıları
- Küme 2 – Buhti Fidye Yazılımı
- Küme 3 – Kobalt Darbesi ve RAT-el
- Küme 4 – Siber casusluk
öneriler
Bu güvenlik açığı sonucunda dijital güvenliğin önemi bir kez daha vurgulanmıştır. Aşağıda, güvenlik uzmanları tarafından sağlanan tüm güvenlik tavsiyelerinden bahsetmiştik: –
- Sisteminizi ve yazılımınızı her zaman mevcut en son yamalar ve güvenlik güncellemeleri ile güncel tuttuğunuzdan emin olun.
- Güçlü bir savunma çevresi uyguladığınızdan emin olun.
- Uygun bir yama yönetimi ve risk yönetimi sistemine sahip olduğunuzdan emin olun.
- Tüm uç noktalarda ve sunucularda çok katmanlı koruma uygulayın.
- Otomatik güvenlik açığı istismarlarını yenmenin en etkili yolu, IP itibarı, etki alanı itibarı ve URL itibarı oluşturmaktır.
- Büyüklükleri ne olursa olsun kuruluşların kapsamlı algılama ve yanıt verme yetenekleri uygulaması önemle tavsiye edilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin