Αργότερα αυτή την εβδομάδα, θα αποκαλυφθεί το Proof-of-Concept για μια σοβαρή ευπάθεια Zoho RCE, που επιτρέπει απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας σε πολλά προϊόντα VMware. Αυτό το καταστροφικό κενό ασφαλείας επιτρέπει στους χάκερς να αποκτήσουν παράνομη πρόσβαση στο σύστημα και να προκαλέσουν μαζική καταστροφή.
Δείτε επίσης: Η Zoho προτρέπει τους admins να διορθώσουν άμεσα ένα ManageEngine bug
Το CVE-2022-47966, είναι μια ευπάθεια ασφαλείας RCE που βασίζεται στη χρήση μιας ευάλωτης και απαρχαιωμένης εξάρτησης τρίτου μέρους του Apache Santuario.
To RCE, ή απομακρυσμένη εκτέλεση κώδικα, είναι ένας τύπος επίθεσης που επιτρέπει σε έναν εισβολέα να εκτελέσει κακόβουλο κώδικα σε έναν διακομιστή, με αποτέλεσμα την πλήρη παραβίαση του συστήματος. Αυτός ο τύπος επίθεσης είναι δυνατός όταν μια εφαρμογή περιέχει μια ευπάθεια που μπορεί να εκμεταλλευτεί ο επιτιθέμενος. Για να πραγματοποιήσει με επιτυχία μια επίθεση RCE, ο επιτιθέμενος πρέπει πρώτα να βρει έναν τρόπο να εισάγει τον κακόβουλο κώδικά του στην ευάλωτη εφαρμογή. Μόλις εκτελεστεί ο κώδικάς του, ο επιτιθέμενος θα έχει τον πλήρη έλεγχο του συστήματος.
Εκμεταλλευόμενοι την ευπάθεια, κακόβουλοι φορείς μπορούν να εκτοξεύσουν αυθαίρετο κώδικα σε διακομιστές ManageEngine χωρίς έλεγχο ταυτότητας, εάν η μεμονωμένη εγγραφή (SSO) βασίστηκε σε SAML και ενεργοποιήθηκε τουλάχιστον μία φορά πριν από την επίθεση.
Αμέτρητα προϊόντα ManageEngine είναι ευάλωτα σε αυτή την ευπάθεια. Ευτυχώς, η Zoho έχει κυκλοφορήσει επιδιορθώσεις από τις 27 Οκτωβρίου 2022 αναβαθμίζοντας την έκδοση της μονάδας τρίτου μέρους για καλύτερη ασφάλεια.
Την Παρασκευή, η ομάδα επίθεσης της Horizon3 εξέδωσε μια αυστηρή προειδοποίηση προς τους διαχειριστές σχετικά με το proof-of-concept (PoC) exploit για το CVE-2022-47966 που είχαν δημιουργήσει.
Δείτε ακόμα: FBI: Hackers εκμεταλλεύονται κρίσιμο Zoho zero-day bug
Αυτή η ευπάθεια είναι αρκετά εύκολο να αξιοποιηθεί και αποτελεί πρωταρχικό στόχο για τους επιτιθέμενους που εφαρμόζουν μια αδιάκριτη προσέγγιση “spray and pray” σε όλο το Διαδίκτυο. Όπως εξηγεί ο ερευνητής ασφαλείας της Horizon3, James Horseman, αυτό το ελάττωμα ασφαλείας επιτρέπει την απομακρυσμένη εκτέλεση κώδικα ως NT AUTHORITY\SYSTEM, παρέχοντας σε έναν εισβολέα απεριόριστο έλεγχο του συστήματος.
“Όταν ένας χρήστης διαπιστώσει ότι έχει πέσει θύμα επίθεσης, είναι σημαντικό να διερευνήσει την έκταση της ζημίας που προκάλεσε ο επιτιθέμενος. Μόλις ένας εισβολέας αποκτήσει πρόσβαση σε επίπεδο SYSTEM στο τελικό σημείο, αναμένεται ότι θα προσπαθήσει να αποσπάσει διαπιστευτήρια εκμεταλλευόμενος το LSASS ή εκμεταλλευόμενος τα δημόσια διαθέσιμα εργαλεία για πρόσβαση σε αποθηκευμένα διαπιστευτήρια εφαρμογών ως μέσο για πλευρική μετακίνηση.“
Παρόλο που δεν έχουν κυκλοφορήσει ακόμη τεχνικές λεπτομέρειες και έχουν μοιραστεί μόνο δείκτες παραβίασης (IOCs) για να βοηθήσουν τους αμυντικούς να εντοπίσουν αν τα συστήματά τους έχουν επηρεαστεί, η Horizon3 σχεδιάζει να κυκλοφορήσει το Proof-of-Concept exploit αργότερα αυτή την εβδομάδα.
Οι ερευνητές της Horizon3 παρουσίασαν ένα στιγμιότυπο οθόνης που απεικόνιζε το exploit τους να εκτελείται ενάντια σε ένα μη προστατευμένο ManageEngine ServiceDesk Plus, παρέχοντας απόδειξη των δυνατοτήτων του.
Δείτε επίσης: Hackers εκμεταλλεύονται ένα νέο Zoho ServiceDesk exploit
Ερευνώντας μόνο δύο από τα ευάλωτα προϊόντα της ManageEngine, το ServiceDesk Plus και το Endpoint Central, ο Horseman ανακάλυψε χιλιάδες μη ενημερωμένους διακομιστές που ήταν δημόσια εκτεθειμένοι στο διαδίκτυο μέσω του Shodan.
Από τα εκτεθειμένα προϊόντα ManageEngine, ένας εντυπωσιακός αριθμός είχε ενεργοποιημένο το SAML, αφήνοντας περίπου το 10% αυτών ευάλωτο σε επιθέσεις CVE-2022-47966.
