Birçok ManageEngine ürününde SYSTEM ayrıcalıklarına sahip RCE’yi etkinleştirebilecek bir güvenlik açığı için Kavram Kanıtı kodu yayınlanmak üzeredir.
Birden fazla Zoho ManageEngine ürününün kullanıcılarına, 27 Ekim 2022’de yayınlanan yamayı yüklemeleri için acil tavsiye veriliyor. Tavsiye acil çünkü 13 Ocak 2023’te Horizon3 Saldırı Ekibi, Kavram Kanıtı (PoC) kodunu ve derinlemesine bir blogu tweetledi. bir hafta içinde serbest bırakılır.
Azaltma
Güvenlik açığı bulunan ManageEngine ürünlerinin uzun bir listesi ve bunların düzeltilmiş sürümleri, ManageEngine danışma belgesinde bulunabilir. Etkilenen ürünün arkasındaki Sabit Sürüm(ler) altındaki URL’lere tıklamak sizi o ürün için güncelleme talimatlarına götürür.
Güvenlik açığı
CVE-2022-47966 altında listelenen güvenlik açığı, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı olarak tanımlanıyor. Güvenlik açığı, eski bir üçüncü taraf bağımlılığı olan Apache Santuario’nun kullanılmasından kaynaklanmaktadır. Apache Santuario, XML sözdizimi ve işleme için kullanılır. Güvenlik açığı, saldırganın SİSTEM düzeyinde erişimle başarılı bir uzaktan kod yürütmesine olanak tanır, bu da tüm sistemin tehlikeye girebileceği anlamına gelir.
Zoho, kimlik doğrulama sürecini basitleştirmek için Güvenlik Onayı İşaretleme Dili’ni (SAML) kullandı. SAML, kimlik doğrulama için kullanılan ve Genişletilebilir İşaretleme Dili (XML) formatına dayalı açık bir standarttır.
Horizon3’e göre:
Güvenlik açığından yararlanmak kolaydır ve saldırganların internet üzerinden “püskürtme ve dua etme”leri için iyi bir adaydır.
Faydalanmak
Saldırganın, açıktan yararlanmayı tetiklemek için özel hazırlanmış bir SAML isteği göndermesi gerekir.
Belirli ManageEngine ürününe bağlı olarak, SAML çoklu oturum açma etkinleştirildiyse veya etkinleştirildiyse bu güvenlik açığından yararlanılabileceğini lütfen unutmayın. Bu nedenle, şu anda SAML’yi etkinleştirmemiş olsanız bile, yamayı öncelikli olarak yüklemeniz önerilir.
Araştırmacılar tarafından gerçekleştirilen bir Shodan taraması, 509’unda SAML’nin etkin olduğu 5255 açık ServiceDesk Plus örneğini ve 345’inde SAML’nin etkin olduğu 3105 açık Endpoint Central örneğini gösterdi. Şu anda bu güvenlik açığına yönelik aktif saldırılar hakkında bilgimiz yok, ancak PoC kodu kullanıma sunulduğunda bu durum hızla değişebilir.
Eylül 2022’de, Zoho ManageEngine PAM360 (sürüm 5500 ve öncesi), Password Manager Pro (sürüm 12100 ve öncesi) ve Access Manager Plus’ı (sürüm 4302 ve öncesi) etkileyen bir RCE güvenlik açığının, birkaç PoC’den sonra aktif olarak kullanıldığı tespit edildi ve bunun için bir Metasploit modülü halka açıldı.
IOC’ler
ServiceDesk Plus, Endpoint Central ve Diğer ManageEngine Ürünleri için IOC’ler, Horizon3’ün bu güvenlik açığıyla ilgili blog gönderisinde bulunabilir.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.