Se sua empresa estiver executando produtos ManageEngine que foram afetadospelo CVE-2022-47966, verifique agora se eles foram atualizados para uma versão não vulnerável porque o Horizon3 lançará detalhes técnicos e uma exploração de PoC esta semana.
GreyNoise ainda não detectou tentativas de exploração em estado selvagem, mas é melhor você acreditar que elas estão chegando. “A vulnerabilidade é fácil de explorar e um bom candidato para os invasores ‘pulverizar e rezar’ pela Internet”, opinou o pesquisador de vulnerabilidades James Horseman.
Sobre CVE-2022-47966
CVE-2022-47966 é uma vulnerabilidade de execução remota de código não autenticada que foi encontrada por um pesquisador da Viettel Cyber Security em duas dúzias de produtos ManageEngine, incluindo Access Manager Plus, ADSelfService Plus, Endpoint DLP, Password Manager Pro, PAM360, ServiceDesk Plus e outras.
A origem da vulnerabilidade era uma versão desatualizada da biblioteca Apache Santuario , que fornece implementação de padrões de segurança para XML. A vulnerabilidade só pode ser explorada se o logon único SAML estiver ativado ou tiver sido ativado anteriormente nesses produtos e pode ser explorada criando uma solicitação SAML com uma assinatura inválida.
“Esse problema foi corrigido com a atualização do módulo de terceiros para a versão recente”, compartilhou o ManageEngine. A empresa lançou versões fixas de cada produto ao longo de outubro e novembro de 2022 e, esperançosamente, a maioria das organizações já atualizou suas instalações.
Mitigar o risco e verificar se há evidências de exploração
Os invasores geralmente se aproveitam das falhas nas ofertas do ManageEngine da Zoho.
“Os produtos ManageEngine são alguns dos mais amplamente usados nas empresas e executam funções de negócios, como autenticação, autorização e gerenciamento de identidade. Dada a natureza desses produtos, uma vulnerabilidade como essa representa um risco crítico para as organizações que permitem o acesso inicial dos invasores, se expostos à Internet, e a capacidade de movimentação lateral com credenciais altamente privilegiadas”, apontou Horseman.
Ele e seus colegas reproduziram a exploração CVE-2022-47966 e compartilharam indicadores de comprometimento (IoCs) que podem ajudar os defensores das organizações a procurar evidências de comprometimento.
“Depois que um invasor tem acesso no nível do SISTEMA ao endpoint, é provável que os invasores comecem a despejar credenciais via LSASS ou aproveitar ferramentas públicas existentes para acessar credenciais de aplicativos armazenados para conduzir o movimento lateral. Se um usuário determinar que foi comprometido, é necessária uma investigação adicional para determinar qualquer dano causado por um invasor”, acrescentou.
Felizmente para os clientes da ManageEngine, essa vulnerabilidade ainda não está sendo explorada e eles podem evitar ser afetados por ela atualizando os produtos mais cedo ou mais tarde.
FONTE: HELPNET SECURITY