Zoho

複数の Zoho ManageEngine 製品のリモート コード実行 (RCE) 脆弱性に対する概念実証のエクスプロイト コードが利用可能になりました。

この事前認証 RCE の欠陥は CVE-2022-47966 として追跡されており、Apache Santuario ライブラリの古くて脆弱なバージョンを使用していることに起因しています。

脆弱なソフトウェアには、ほぼすべての ManageEngine 製品が含まれますが、サードパーティの依存関係を安全なバージョンに更新することにより、2022 年 10 月 27 日以降、複数のウェーブで既にパッチが適用されています。

SAML ベースのシングル サインオン (SSO) が攻撃前に少なくとも 1 回有効になっている場合、認証されていない攻撃者は、悪用に成功した後、ManageEngine インスタンスで任意のコードを実行できます。

Horizon3 のセキュリティ研究者は、CVE-2022-47966 の PoC が今週後半に利用可能になるという木曜日の警告を受けて、今日の初めに脆弱性の概念実証 (PoC) エクスプロイト技術分析をリリースしました。

「この POC は、認証前のリモート コード実行の脆弱性を悪用して、Java の Runtime.exec メソッドでコマンドを実行します」と研究者は述べています。

PoC エクスプロイトは ServiceDesk Plus および Endpoint Central に対してテストされており、Horizon3 は「この POC は、コードベースの一部を ServiceDesk Plus または EndpointCentral と共有する多くの ManageEngine 製品で変更なしで機能することを期待しています」。

CVE-2022-47966 PoC エクスプロイト
CVE-2022-47966 PoC エクスプロイト (Horizon3)

Horizon3 は以前に、次のようないくつかの異なる製品のその他の重大なセキュリティ上の欠陥に対するエクスプロイト コードをリリースしました。

  • CVE-2022-28219は、Zoho ManageEngine ADAudit Plus の重大な欠陥であり、攻撃者が Active Directory アカウントを侵害する可能性があります。
  • CVE-2022-1388 、F5 BIG-IP ネットワーキング デバイスでリモート コード実行を可能にする重大な脆弱性
  • CVE-2022-22972は、攻撃者が管理者権限を取得できる複数の VMware 製品の重大な認証バイパス バグです。

入ってくる「スプレー アンド プレイ」攻撃

先週、Horizon3 の研究者は、PoC エクスプロイトがリリースされた後、潜在的な攻撃の波についても警告しました。「この脆弱性は簡単に悪用でき、攻撃者がインターネット上で「スプレーして祈る」のに適しているからです。

彼らは、パッチが適用されていない何千もの ServiceDesk Plus および Endpoint Central サーバーが Shodan を介してオンラインで公開されていることを発見しました。検出されたすべてのデバイスの推定 10% は、SAML が有効になっているため、CVE-2022-47966 攻撃にさらされていました。

この脆弱性を利用した攻撃の報告はなく、実際に悪用しようとする試みもありませんが、攻撃者は、Horizon3 の PoC コードに基づいてカスタム RCE エクスプロイトを開発するために迅速に動く可能性があります。

近年、金銭目的で国家が支援する脅威グループが、Zoho ManageEngine サーバーを重点的に標的にしています。

たとえば、脅威アクターは、2020 年 7 月にインターネットに公開された Desktop Central インスタンスを侵害した後、ハッキング フォーラムで侵害された組織のネットワークへのアクセスも販売しました。

2021 年 8 月から 10 月にかけて、中国のハッキング グループ APT27 と同様の戦術、技術、手順 (TTP) を持つ国家ハッカーによって組織化されたキャンペーンの標的になりました。

ManageEngine を標的とするこれらの攻撃やその他の攻撃に続いて、CISA と FBI は2 つの共同勧告 [1、2 ]を発行し、国家が支援する攻撃者が ManageEngine のバグを悪用して重要なインフラストラクチャ組織にバックドアを仕掛けることについて警告しました。