Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε μια ευπάθεια κρίσιμης σοβαρότητας deserialization Java που επηρεάζει πολλά προϊόντα Zoho ManageEngine στον κατάλογό της με σφάλματα που εκμεταλλεύονται οι χάκερ.
Δείτε επίσης: Η Optus γνώριζε για την επίθεση 24 ώρες πριν ειδοποιήσει τα μέσα ενημέρωσης
Αυτό το ελάττωμα ασφαλείας (CVE-2022-35405) μπορεί να αξιοποιηθεί σε επιθέσεις χαμηλής πολυπλοκότητας, χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη, για να επιτευχθεί απομακρυσμένη εκτέλεση κώδικα σε servers που εκτελούν unpatched Zoho ManageEngine PAM360 και Password Manager Pro (χωρίς έλεγχο ταυτότητας) ή Access Manager Plus (με έλεγχος ταυτότητας) λογισμικό.
Δείτε επίσης: Χάκερ κλέβουν λογαριασμούς GitHub μέσω ψεύτικων ειδοποιήσεων CircleCI
Ο exploit code Proof-of-concept (PoC) και ένα module Metasploit (στοχεύοντας αυτό το σφάλμα για να αποκτήσει το RCE ως χρήστης του SYSTEM) είναι διαθέσιμα στο διαδίκτυο από τον Αύγουστο.
“Το exploit POC για την παραπάνω ευπάθεια είναι διαθέσιμο στο κοινό”, προειδοποίησε η ManageEngine τους πελάτες τον Ιούλιο όταν εξέδωσε ενημερώσεις κώδικα ασφαλείας για την αντιμετώπιση αυτού του ζητήματος.
“Συνιστούμε ανεπιφύλακτα στους πελάτες μας να αναβαθμίσουν αμέσως τα instances των Password Manager Pro, PAM360 και Access Manager Plus.”
Αφού προστέθηκαν στον κατάλογο Known Exploited Vulnerabilities (KEV) της CISA, όλες οι υπηρεσίες Federal Civilian Executive Branch Agencies (FCEB) πρέπει τώρα να επιδιορθώσουν τα συστήματά τους έναντι αυτού του σφάλματος που χρησιμοποιείται από τους χάκερ σύμφωνα με μια δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε τον Νοέμβριο.
Οι ομοσπονδιακές υπηρεσίες έχουν στη διάθεσή τους τρεις εβδομάδες, έως τις 13 Οκτωβρίου, για να διασφαλίσουν ότι τα δίκτυά τους προστατεύονται από απόπειρες exploitation.
Όλοι οι οργανισμοί προτρέπονται να δώσουν προτεραιότητα στην επιδιόρθωση αυτού του ελαττώματος
Παρόλο που το BOD 22-01 ισχύει μόνο για τις υπηρεσίες FCEB των ΗΠΑ, η υπηρεσία κυβερνοασφάλειας των ΗΠΑ προέτρεψε έντονα και όλους τους οργανισμούς από τον ιδιωτικό και δημόσιο τομέα παγκοσμίως να δώσουν προτεραιότητα στην επιδιόρθωση αυτού του σφάλματος.
Ακολουθώντας αυτή τη συμβουλή και εφαρμόζοντας ενημερώσεις κώδικα το συντομότερο δυνατό θα μειώσει το attack surface που θα μπορούσαν να χρησιμοποιήσουν οι επιτιθέμενοι σε απόπειρες παραβίασης των δικτύων τους.
«Αυτά τα είδη τρωτών σημείων είναι ένας συχνός φορέας επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικό κίνδυνο για την ομοσπονδιακή επιχείρηση», εξήγησε την Πέμπτη η CISA.
Από τότε που εκδόθηκε αυτή η δεσμευτική οδηγία, η CISA έχει προσθέσει περισσότερες από 800 ευπάθειες ασφαλείας στον κατάλογό της με σφάλματα που εκμεταλλεύονται σε επιθέσεις, απαιτώντας από τις ομοσπονδιακές υπηρεσίες να τις αντιμετωπίσουν σε αυστηρότερο χρονοδιάγραμμα.
Δείτε επίσης: Αγωγή εναντίον της Meta για παρακολούθηση χρηστών iPhone
Συνιστάται σε όλους τους επαγγελματίες ασφαλείας και τους διαχειριστές να ελέγξουν τον κατάλογο KEV της CISA και να επιδιορθώσουν τα σφάλματα που αναφέρονται στο περιβάλλον τους για να αποκλείσουν τις προσπάθειες παραβίασης της ασφάλειας.
Τα τελευταία χρόνια, οι servers Zoho ManageEngine στοχοποιούνται διαρκώς, με instances του Desktop Central – για παράδειγμα, χακάρονται και η πρόσβαση στα δίκτυά τους πωλείται σε φόρουμ hacking από τον Ιούλιο του 2020.
Μεταξύ Αυγούστου και Οκτωβρίου 2021, οι servers ManageEngine δέχθηκαν επίθεση και από χάκερ nation-state χρησιμοποιώντας τακτικές και εργαλεία παρόμοια με αυτά που αναπτύσσονται σε επιθέσεις από την ομάδα hacking APT27 που συνδέεται με την Κίνα.
Μετά από αυτές τις εκστρατείες, το FBI και η CISA εξέδωσαν δύο κοινές συμβουλές (1, 2) προειδοποιώντας για τους φορείς APT που εκμεταλλεύονται τα ελαττώματα του ManageEngine για να ρίξουν web shells στα δίκτυα οργανισμών υποδομής ζωτικής σημασίας, συμπεριλαμβανομένων των βιομηχανιών υγείας, ηλεκτρονικών, χρηματοοικονομικών υπηρεσιών και συμβουλευτικών υπηρεσιών πληροφορικής.
Πηγή πληροφοριών: bleepingcomputer.com
