Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), çoğu Zoho ManageEngine ürününü etkileyen bir uzaktan kod yürütmeyi (RCE), vahşi ortamda istismar edildiği bilinen hatalar kataloğuna ekledi.
Bu güvenlik açığı CVE-2022-47966 olarak izleniyor ve 27 Ekim 2022’den itibaren birkaç dalga halinde yamalandı.
Kimliği doğrulanmamış tehdit aktörleri, SAML tabanlı çoklu oturum açma (SSO) isteğe bağlı kod yürütmek için saldırıdan en az bir kez etkinleştirildiyse veya etkinleştirildiyse bundan yararlanabilir.
Geçen hafta Horizon3 güvenlik araştırmacıları, kavram kanıtı (PoC) istismar kodu içeren bir teknik analiz yayınladı ve gelen ‘püskürt ve dua et’ saldırılarına karşı uyardı.
8.300’den fazla İnternet’e açık ServiceDesk Plus ve Endpoint Central bulut sunucusu buldular ve bunların kabaca %10’unun da savunmasız olduğunu tahmin ettiler.
Bir gün sonra, çok sayıda siber güvenlik şirketi, çevrimiçi olarak açığa çıkan yama uygulanmamış ManageEngine bulut sunucularının artık ters kabukları açmaya yönelik devam eden saldırılarda CVE-2022-47966 açıklarından yararlanma ile hedeflendiği konusunda uyardı.
Rapid7 güvenlik araştırmacıları tarafından görülen istismar sonrası etkinlik, saldırganların uzaktan erişim araçlarını kullanarak arka kapı güvenliği ihlal edilmiş cihazlara yönelik gerçek zamanlı kötü amaçlı yazılım korumasını devre dışı bıraktığını gösteriyor.
CVE-2022-47966 kimliği doğrulanmamış RCE için en az 10 IP’den yararlanma girişimlerinin alınması, birden fazla Zoho ManageEngine ürününü (SAML SSO’su etkin olan) etkiliyor.
ManageEngine danışma belgesinde belirtildiği gibi sabit sürümlere güncellediğinizden emin olunhttps://t.co/BIRlXnHkAT
— Shadowserver (@Shadowserver) 19 Ocak 2023
Tüm kuruluşlar yama işlemine öncelik vermeye teşvik edildi
Kasım 2021’de yayınlanan bağlayıcı bir operasyonel yönergeye (BOD 22-01) göre, tüm Federal Sivil Yürütme Şube Ajansları (FCEB) kurumları, CISA’nın Bilinen Yararlı Güvenlik Açıkları (KEV) kataloğuna eklendikten sonra sistemlerini aktif olarak yararlanılan bu hataya karşı yama yapmalıdır.
Federal kurumların, ağlarının devam eden suistimal girişimlerine karşı güvence altına alınmasını sağlamak için 13 Şubat’a kadar üç haftası var.
BOD 22-01 yalnızca ABD FCEB ajansları için geçerli olsa da, siber güvenlik kurumu ayrıca özel ve kamu sektörlerindeki tüm kuruluşları bu güvenlik açığını yamalamaya öncelik vermeye güçlü bir şekilde çağırdı.
CISA Pazartesi günü yaptığı açıklamada, “Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli bir risk oluşturmaktadır.”
Eylül ayında CISA, federal kurumlara, başarılı istismarın ardından kimliği doğrulanmamış uzaktan kod yürütülmesine izin veren birkaç Zoho ManageEngine ürünündeki başka bir kritik kusuru (CVE-2022-35405) düzeltme talimatı verdi.
CVE-2022-35405’i hedefleyen bir Metasploit modülü (SİSTEM kullanıcısı olarak RCE’nin kazanılmasına yardımcı olur) ve kavram kanıtı (PoC) istismar kodu Ağustos ayından bu yana çevrimiçi olarak kullanıma sunulmuştur.
CISA ve FBI, daha önce (1, 2) devlet destekli grupların, finansal hizmetler ve sağlık hizmetleri de dahil olmak üzere çok sayıda kritik altyapı sektöründen kuruluşları hedeflemek için ManageEngine kusurlarını kullandığı konusunda uyarıda bulunmuştu (1, 2).