Cybersecurity and Infrastructure Security Agency (CISA) は、ほとんどの Zoho ManageEngine 製品に影響を与えるリモート コード実行 (RCE) を、実際に悪用されることが知られているバグのカタログに追加しました。
このセキュリティ上の欠陥は CVE-2022-47966 として追跡されており、2022 年 10 月 27 日から数回にわたってパッチが適用されました。
攻撃前に SAML ベースのシングル サインオン (SSO) が少なくとも 1 回有効化されているか、有効化されていた場合、認証されていない攻撃者はそれを悪用して、任意のコードを実行できます。
先週、Horizon3 のセキュリティ研究者は、概念実証 (PoC) エクスプロイト コードを使用した技術分析をリリースし、「スプレー アンド プレイ」攻撃の到来について警告しました。
彼らは、8,300 を超えるインターネットに公開された ServiceDesk Plus および Endpoint Central インスタンスを発見し、それらの約 10% も脆弱であると推定しました。
1 日後、複数のサイバーセキュリティ企業が、オンラインで公開されているパッチが適用されていない ManageEngine インスタンスが、リバース シェルを開く進行中の攻撃で CVE-2022-47966 エクスプロイトの標的になっていると警告しました。
Rapid7 のセキュリティ研究者が確認したエクスプロイト後のアクティビティは、攻撃者がリモート アクセス ツールを展開することで、侵害されたデバイスに対するリアルタイムのマルウェア保護を無効にしていることを示しています。
複数の Zoho ManageEngine 製品 (SAML SSO が有効になっている) に影響する CVE-2022-47966 非認証 RCE について、少なくとも 10 個の IP からエクスプロイトの試みを検出します。
ManageEngine アドバイザリhttps://t.co/BIRlXnHkATで指定されているように、必ず修正済みバージョンに更新してください。
— シャドウサーバー (@Shadowserver) 2023 年 1 月 19 日
すべての組織がパッチ適用を優先するよう要請
2021 年 11 月に発行された拘束力のある運用指令 (BOD 22-01)によると、CISA の既知の悪用された脆弱性(KEV) カタログにこのバグが追加された後、すべての連邦民間行政機関 (FCEB) 機関は、積極的に悪用されているこのバグに対してシステムにパッチを適用する必要があります。
連邦機関には、2 月 13 日までの 3 週間が与えられ、現在進行中の悪用の試みからネットワークを保護する必要があります。
BOD 22-01 は米国の FCEB 機関にのみ適用されますが、サイバーセキュリティ機関は、民間および公共部門のすべての組織に対して、この脆弱性へのパッチ適用を優先するよう強く要請しました。
「この種の脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と CISA は月曜日に述べました。
9 月、CISA は連邦政府機関に対し、いくつかの Zoho ManageEngine 製品に存在する別の重大な欠陥 (CVE-2022-35405) にパッチを適用するよう命じました。これにより、エクスプロイトが成功すると、認証されていないリモート コードが実行される可能性があります。
Metasploit モジュール(SYSTEM ユーザーとして RCE を取得するのに役立つ) と、CVE-2022-35405 を標的とする概念実証 (PoC) エクスプロイト コードが 8 月からオンラインで入手可能になりました。
CISA と FBI は以前、国が支援するグループがManageEngine の欠陥を悪用して、金融サービスやヘルスケアなど、複数の重要なインフラストラクチャ セクターの組織を標的にしていると警告していました (1、2 ) 。
Comments