Hindistan Siber Acil Müdahale Ekibi (CERT-IN), Zoho ManageEngine ürünlerinde uzaktan kod yürütme güvenlik açığı hakkında bir uyarı yayınladı. CVE-2022-47966 olarak izlenen güvenlik açığı, Ekim 2022’nin sonuna kadar Zoho tarafından yamalandı.
Önem derecesi Yüksek olan hata, ManageEngine ServiceDesk Plus sürüm 14003 ve ManageEngine Endpoint Central sürüm 10.1.2228.10’u saldırılara karşı savunmasız hale getiriyor.
“Zoho ManageEngine ürünlerinde, bir saldırganın hedeflenen sistem hakkında hassas bilgiler elde etmek için rasgele kod yürütmesine izin verebilecek bir Güvenlik Açığı bildirildi” dedi. CERT-IN notu.
“SAML çoklu oturum açma etkinleştirildiyse veya daha önce etkinleştirildiyse, bu güvenlik açığı Zoho ManageEngine ürünlerinde mevcuttur. Saldırgan, özel hazırlanmış bir istek göndererek bu güvenlik açığından yararlanabilir.”
Bu hataya dokunmak, bir saldırganın hedeflenen sistemdeki hassas bilgilere erişmek için rasgele kod çalıştırmasına izin verebilir.
Uyarı, Horizon3’teki araştırmacıların Güvenlik açığı kötüye kullanılabilir kurban sistemlere ilk erişim ve yüksek düzeyde ayrıcalıklı kimlik bilgileri kullanan ağlar içinde yanal hareket için.
Zoho ManageEngine güvenlik açığı ve saldırının kapsamı
Zoho’nun ManageEngine ürünleri, dünya çapında 280.000’den fazla kuruluş tarafından kullanılıyor ve kurulumlarına yama uygulamamışlarsa pek çoğunu riske atıyor.
Horizon3’teki araştırmacılar, yavaş kurumsal yama döngüleri nedeniyle birçok kuruluşun henüz yama yapmamış olabileceği konusunda uyarıyor.
Zoho’da var bir danışma yayınladıkuruluşları yamayı mümkün olan en kısa sürede uygulamaya teşvik ediyor. Güvenlik açığı, sistem düzeyinde ayrıcalıklarla uzaktan kod yürütülmesine izin vererek saldırgana sistemin tam denetimini sağlar.
Horizon3 raporunda, “ManageEngine ürünleri, kuruluşlar arasında en yaygın kullanılan ürünlerden bazılarıdır ve kimlik doğrulama, yetkilendirme ve kimlik yönetimi gibi ticari işlevleri yerine getirir.”
“Bu ürünlerin doğası göz önüne alındığında, bunun gibi bir güvenlik açığı, saldırganların internete maruz kalmaları durumunda ilk erişime ve son derece ayrıcalıklı kimlik bilgileriyle yanal hareket etme yeteneğine izin veren kuruluşlar için kritik risk oluşturuyor.”
Zoho ManageEngine ve güvenlik açığı geçmişi
Horizon3 raporu, 509’unda SAML’nin etkinleştirildiği ve 345’inde SAML’nin etkinleştirildiği 3105’te kullanıma sunulan ServiceDesk Plus örneği olmak üzere 5.255 açık ServiceDesk Plus örneğini listeler.
“Bundan yola çıkarak, İnternet’e açık olan tüm ManageEngine ürünlerinin yaklaşık %10’unda SAML’nin etkinleştirildiğini varsayıyoruz. İlk etapta SAML kullanan kuruluşlar daha büyük ve daha olgun olma eğilimindedir ve muhtemelen saldırganlar için daha yüksek değerli hedefler olacaktır” dedi.
Bu, son birkaç ay içinde tespit edilen başlıca Zoho sistem güvenlik açıklarının listesinin en sonuncusudur.
Zoho’da var çağrıldı 4 Ocak’ta müşteriler, çeşitli ManageEngine ürünlerini etkileyen önemli bir güvenlik açığını yamalayacak.
CVE-2022-47523 olarak tanımlanan güvenlik açığı, Password Manager Pro güvenli kasası, PAM360 ayrıcalıklı erişim yönetimi yazılımı ve Access Manager Plus ayrıcalıklı oturum yönetimi çözümünde bulunan bir SQL enjeksiyon sorunudur.
CISA bir uyarı yayınladı Eylül 2022’de ManageEngine ürünlerindeki kritik bir güvenlik açığı (CVE-2022-35405) hakkında.
Bu güvenlik açığından yararlanılırsa, saldırganların gerekli yamaları uygulamamış ve PAM360, Access Manager Plus ve Password Manager Pro çalıştıran sunucularda uzaktan kod yürütmesine olanak sağlayabilir.