Konsept Kanıtı, çeşitli Zoho Managine ürünlerinde kimlik doğrulaması yapmadan uzaktan kod yürütülmesine (RCE) izin veren kritik bir güvenlik açığı için bu hafta daha fazla bilgi ediş kodu piyasaya sürülecek.
CVE-2022-47966 olarak izlenen bu Auth öncesi RCE güvenlik kusuru, modası geçmiş ve savunmasız bir üçüncü taraf bağımlılığı olan Apache Santuario kullanmaktan kaynaklanmaktadır.
Başarılı sömürü, SAML tabanlı tek imza (SSO) saldırıdan önce en az bir kez etkinleştirilirse veya etkinleştirilirse, kimlik doğrulanmamış tehdit aktörlerinin yönetime sahip sunucularda keyfi kod yürütmesini sağlar.
Savunmasız yazılım listesi hemen hemen tüm ManageEngine ürünlerini içerir. Yine de, Neyse ki, Zoho, üçüncü taraf modülü daha yeni bir versiyona güncelleyerek 27 Ekim 2022'den itibaren dalgalara yamaladı.
Cuma günü, Horizon3'ün saldırı ekibi ile güvenlik araştırmacıları, yöneticileri CVE-2022-47966 için bir kavram kanıtı (POC) istismar yarattıkları konusunda uyardı.
"Güvenlik açığından yararlanmak kolaydır ve saldırganların internette 'püskürtmesi ve dua etmesi' için iyi bir adaydır. Bu güvenlik açığı, NT Authority \ System olarak uzaktan kod yürütülmesine izin verir ve saldırgana sistem üzerinde tam kontrol sağlar," Dedi James Horseman.
"Bir kullanıcı tehlikeye atıldığını belirlerse, bir saldırganın yaptığı hasarı belirlemek için ek araştırma yapılması gerekir. Bir saldırganın uç noktaya sistem seviyesi erişimi olduğunda, saldırganların LASS aracılığıyla kimlik bilgilerini boşaltmaya başlaması veya mevcut genel araçlardan yararlanmaya başlaması muhtemeldir. Lateral hareketi yürütmek için depolanan uygulama kimlik bilgileri. "
Her ne kadar henüz teknik detaylar yayınlamamış olsalar ve sadece savunucuların sistemlerinin tehlikeye girip girmediğini belirlemek için kullanabilecekleri uzlaşma göstergeleri (IOC'ler), Horizon3 bu hafta POC'den yararlanmayı planlıyor.
Horizon3 araştırmacıları ayrıca, savunmasız bir managine Servidanesk Plus örneğine karşı istismarlarını gösteren aşağıdaki ekran görüntüsünü paylaştılar.
Serviceesk Plus ve Endpoint Central, savunmasız yönetilen ürünlerden sadece ikisine bakarken, atlı shodan aracılığıyla çevrimiçi olarak maruz kalan binlerce açılmamış sunucu buldu.
Bunlardan, yüzlerce SAML etkinleştirildi ve CVE-2022-47966 saldırılarına karşı savunmasız maruz kalan tüm yönetilen ürünlerin tahmini% 10'u.
Bu kırılganlıktan yararlanan saldırılar hakkında hiçbir kamuoyu raporu olmasa da ve siber güvenlik firması Greynoise başına vahşi doğada sömürülme girişimi olmasa da, motive edilmiş saldırganlar, Horizon3 yayınladıklarında bile, kendi RCE istismarlarını oluşturmak için hızla hareket edecekler, minimal sürüm.
Horizon3 daha önce yayınlanan istismar kodu aşağıdakiler için yayınlandı:
Zoho ManageenGine sunucuları son yıllarda sürekli saldırı altında, Nation-State hackerları, Ağustos ve Ekim 2021 arasında onları hedefleyen Çin bağlantılı APT27 Hacking grubuna benzer taktikler ve takımlar kullanıyor.
Masaüstü merkezi örnekleri de Temmuz 2020'de saldırıya uğradı ve tehdit aktörleri ihlal edilen kuruluşların hack forumlarındaki ağlarına erişim sattı.
Bu ve diğer kapsamlı saldırı kampanyalarından sonra, FBI ve CISA, devlet destekli saldırganların yönetici hatalarını arka kapıya kritik altyapı organizasyonlarına sömüren ortak tavsiyeler [1, 2] uyarısı verdi [1, 2].
Aktif olarak istismar edilen proxynotshell borsa için piyasaya sürülen istismar
4.000'den fazla Sophos güvenlik duvarı cihazı RCE saldırılarına karşı savunmasız
Zoho, yöneticileri hemen şiddetli yönetim hatasını yamaya çağırıyor
Ransomware Gang, sunucuları ihlal etmek için yeni Microsoft Exchange istismarını kullanıyor
Bilgisayar korsanları, ters kabukları açmak için kontrol web paneli kusurunu kullanır
Kaynak: Bleeping Computer