Kuruluşunuz CVE-2022-47966’dan etkilenen ManageEngine ürünlerini çalıştırıyorsa, bu ürünlerin güvenlik açığı olmayan bir sürüme güncellenip güncellenmediğini şimdi kontrol edin çünkü Horizon3 bu hafta teknik ayrıntılar ve bir PoC istismarı yayınlayacak.
GreyNoise henüz vahşi sömürü girişimlerini tespit etmedi, ancak bunların geleceğine inansanız iyi olur. Güvenlik açığı araştırmacısı James Horseman, “Güvenlik açığından yararlanmak kolaydır ve saldırganların İnternet üzerinden ‘püskürtme ve dua etme’leri için iyi bir adaydır,” dedi.
CVE-2022-47966 hakkında
CVE-2022-47966, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığıdır. bir araştırmacı tarafından bulundu Access Manager Plus, ADSelfService Plus, Endpoint DLP, Password Manager Pro, PAM360, ServiceDesk Plus ve diğerleri dahil olmak üzere iki düzine ManageEngine ürününde Viettel Cyber Security ile.
Güvenlik açığının kaynağı, XML için güvenlik standartlarının uygulanmasını sağlayan Apache Santuario kitaplığının eski bir sürümüydü. Güvenlik açığından yalnızca SAML çoklu oturum açma bu ürünlerde şu anda veya daha önce etkinleştirildiyse kullanılabilir ve geçersiz bir imzayla SAML isteği oluşturularak kullanılabilir.
ManageEngine, “Bu sorun, üçüncü taraf modül son sürüme güncellenerek giderildi” şeklinde bir paylaşımda bulundu. Şirket, Ekim ve Kasım 2022 boyunca her ürünün sabit sürümlerini yayınladı ve umarız çoğu kuruluş kurulumlarını zaten yükseltmiştir.
Riski azaltın ve kötüye kullanım kanıtı olup olmadığını kontrol edin
Saldırganlar genellikle Zoho’nun ManageEngine tekliflerindeki kusurlardan yararlanır.
“ManageEngine ürünleri, kuruluşlar arasında en yaygın kullanılanlardan bazılarıdır ve kimlik doğrulama, yetkilendirme ve kimlik yönetimi gibi ticari işlevleri yerine getirir. Bu ürünlerin doğası göz önüne alındığında, bunun gibi bir güvenlik açığı, saldırganların internete maruz kaldıkları takdirde ilk erişime ve son derece ayrıcalıklı kimlik bilgileriyle yanal hareket etme kabiliyetine izin veren kuruluşlar için kritik risk teşkil ediyor,” diye belirtti Horseman.
O ve meslektaşları, CVE-2022-47966 istismarını yeniden oluşturdular ve kuruluşların savunucularının uzlaşma kanıtı aramasına yardımcı olabilecek uzlaşma göstergelerini (IoC’ler) paylaştılar.
“Bir saldırgan uç noktaya SİSTEM düzeyinde erişim sağladığında, saldırganlar muhtemelen LSASS yoluyla kimlik bilgilerini boşaltmaya başlayacak veya yanal hareket gerçekleştirmek için depolanan uygulama kimlik bilgilerine erişmek için mevcut genel araçları kullanacaktır. Bir kullanıcı güvenliğinin ihlal edildiğini tespit ederse, bir saldırganın verdiği zararı belirlemek için ek araştırma yapılması gerekir” dedi.
Neyse ki ManageEngine müşterileri için, bu güvenlik açığı hala istismar edilmiyor ve ürünleri bir an önce yükselterek bu güvenlik açığından etkilenmelerini önleyebilirler.