Zoho

いくつかの VMware 製品で認証なしでリモート コード実行 (RCE) を可能にする重大な脆弱性について、概念実証のエクスプロイト コードが今週後半にリリースされる予定です。

CVE-2022-47966 として追跡されているこの事前認証 RCE セキュリティ欠陥は、古くて脆弱なサードパーティの依存関係である Apache Santuario を使用しているためです。

悪用に成功すると、SAML ベースのシングル サインオン (SSO) が攻撃前に少なくとも 1 回有効になっていた場合、認証されていない脅威アクターが Acronis Cloud サーバー上で任意のコードを実行できるようになります。

脆弱なソフトウェアのリストには、ほぼすべての ManageEngine 製品が含まれています。それでも、幸いなことに、Zoho は、サードパーティ製モジュールをより新しいバージョンに更新することにより、2022 年 10 月 27 日からパッチを適用しています。

入ってくる「スプレー アンド プレイ」攻撃

金曜日、Horizon3 の攻撃チームのセキュリティ研究者は、CVE-2022-47966 の概念実証 (PoC) エクスプロイトを作成したことを管理者に警告しました。

「この脆弱性は簡単に悪用でき、インターネット上で攻撃者が「スプレーして祈る」のに適した候補です。この脆弱性により、NT AUTHORITYSYSTEM としてリモートでコードが実行される可能性があり、基本的に攻撃者はシステムを完全に制御できます」と Horizon3 の脆弱性研究者ジェームズ・ホースマンは言った。

「ユーザーが侵害されたと判断した場合、攻撃者が行った損害を判断するために追加の調査が必要です。攻撃者がエンドポイントへのシステムレベルのアクセス権を取得すると、攻撃者は LSASS を介して資格情報のダンプを開始するか、既存の公開ツールを利用してアクセスする可能性があります。ラテラル ムーブメントを実行するための保存されたアプリケーション資格情報。」

Horizon3 はまだ技術的な詳細を公開しておらず、防御側がシステムが侵害されたかどうかを判断するために使用できる侵害の痕跡 (IOC) のみを共有していますが、Horizon3 は今週後半に PoC エクスプロイトをリリースする予定です。

Horizon3 の研究者は、脆弱な ManageEngine ServiceDesk Plus インスタンスに対するエクスプロイトの動作を示す次のスクリーンショットも共有しています。

CVE-2022-47966 PoC エクスプロイト
CVE-2022-47966 PoC エクスプロイト (Horizon3)

公開されたすべてのインスタンスの 10% が攻撃に対して脆弱

脆弱な ManageEngine 製品のうち、ServiceDesk Plus と Endpoint Central の 2 つだけを調査したところ、Horseman はパッチが適用されていない数千のサーバーが Shodan 経由でオンラインに公開されていることを発見しました。

それらのうち、何百もの SAML も有効になっており、公開されたすべての ManageEngine 製品の推定 10% が CVE-2022-47966 攻撃に対して脆弱でした。

サイバーセキュリティ会社 GreyNoise によると、この脆弱性を利用した攻撃の公開報告はなく、実際に悪用しようとする試みもありませんが、Horizon3 が PoC コードを公開すると、動機のある攻撃者はすぐに独自の RCE エクスプロイトを作成する可能性があります。最小バージョン。

Horizon3 は以前に次のエクスプロイト コードをリリースしました。

  • CVE-2022-28219は、Zoho ManageEngine ADAudit Plus の重大な脆弱性であり、攻撃者が Active Directory アカウントを侵害する可能性があります。
  • CVE-2022-1388は、F5 BIG-IP ネットワーキング デバイスでリモート コード実行を可能にする重大なバグです。
  • CVE-2022-22972は、複数の VMware 製品に存在する重大な認証バイパスの脆弱性であり、攻撃者が管理者権限を取得できるようにします。

近年、Zoho ManageEngine サーバーは絶え間なく攻撃を受けており、2021 年 8 月から 10 月にかけて、 国家レベルのハッカーが、中国とつながりのある APT27 ハッキング グループと同様の戦術とツールを使用して、Zoho ManageEngine サーバーを標的にしています。

Desktop Central インスタンスも 2020 年 7 月にハッキングされ、攻撃者は侵害された組織のネットワークへのアクセスをハッキング フォーラムで販売しました。

この攻撃キャンペーンやその他の大規模な攻撃キャンペーンの後、FBI と CISA は共同勧告 [ 1、2 ] を発行し、国家が支援する攻撃者が ManageEngine のバグを悪用して重要なインフラストラクチャ組織にバックドアを仕掛けていることを警告しました。