Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εντόπισε ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στα περισσότερα προϊόντα Zoho ManageEngine, το οποίο ήδη αξιοποιείται από κακόβουλους φορείς.
Δείτε επίσης: Κινέζοι χάκερ εκμεταλλεύονται zero-day ευπάθεια σε συσκευές Fortinet
Με την ονομασία CVE-2022-47966, αυτή η ευπάθεια ασφαλείας επιλύθηκε γρήγορα σε διάφορες φάσεις, αρχής γενομένης από τις 27 Οκτωβρίου 2022.
Εάν είναι ενεργοποιημένη ή έχει ενεργοποιηθεί προηγουμένως η ενιαία υπογραφή (SSO) που βασίζεται σε SAML, κακόβουλοι φορείς μπορούν να εκμεταλλευτούν αυτή την ευπάθεια για να εκτελέσουν μη εξουσιοδοτημένο κώδικα.
Τις τελευταίες επτά ημέρες, οι εμπειρογνώμονες ασφάλειας της Horizon3 εξέδωσαν μια σαφή και εμπεριστατωμένη έρευνα με proof-of-concept (PoC) exploit code και προειδοποιήσαν για πιθανές επιθέσεις “spray and pray”. Για την αποτροπή κακόβουλων δραστηριοτήτων, ενθάρρυναν έντονα όλους να λάβουν προληπτικά μέτρα.
Δείτε επίσης: Η Microsoft σχεδιάζει να σκοτώσει την παράδοση malware μέσω των Excel XLL add-ins
Αποκαλύφθηκε ότι 8.300 υπηρεσίες ServiceDesk Plus και Endpoint Central ήταν προσβάσιμες στο διαδίκτυο, ενώ εκτιμάται ότι το 10% από αυτές είναι επίσης ευάλωτες.
Την επόμενη ημέρα, ειδοποιήσεις από πολλαπλές εταιρείες κυβερνοασφάλειας δήλωσαν ότι οι μη προστατευμένες περιπτώσεις ManageEngine που είναι σήμερα προσβάσιμες στο διαδίκτυο υφίσταντο συνεχείς επιθέσεις με exploits CVE-2022-47966 για να ανοίξουν αντίστροφα κελύφη.
Μετά από περαιτέρω έρευνα, οι ειδικοί ασφαλείας της Rapid7 ανακάλυψαν ότι οι χάκερ απενεργοποιούν την προστασία από κακόβουλο λογισμικό προκειμένου να εισχωρήσουν σε μηχανήματα με την εγκατάσταση εργαλείων απομακρυσμένης πρόσβασης. Αυτή η δραστηριότητα μετά την εκμετάλλευση χρησιμεύει ως ενοχοποιητική απόδειξη της κακόβουλης πρόθεσης των επιτιθέμενων.
Όλοι οι οργανισμοί προτρέπονται να δώσουν προτεραιότητα στο patch
Όλοι οι ομοσπονδιακοί πολιτικοί οργανισμοί του εκτελεστικού κλάδου (FCEB) πρέπει να επιδιορθώσουν τα συστήματά τους έναντι ενός σφάλματος που εκμεταλλεύεται επί του παρόντος και το οποίο προστέθηκε στον κατάλογο Known Exploited Vulnerabilities (KEV) από την CISA μέσω μιας δεσμευτικής επιχειρησιακής οδηγίας (BOD 22-01). Η εντολή αυτή ισχύει από τον Νοέμβριο του 2021.
Μέχρι τις 13 Φεβρουαρίου, οι ομοσπονδιακές υπηρεσίες πρέπει να λάβουν κάθε προληπτικό μέτρο για να διασφαλίσουν ότι τα δίκτυά τους είναι ασφαλή και αδιαπέραστα από πιθανές κυβερνοεπιθέσεις. Ο χρόνος είναι πολύτιμος- δεν υπάρχει περιθώριο για αναβλητικότητα!
Παρόλο που το BOD 22-01 επηρεάζει μόνο τους οργανισμούς FCEB των ΗΠΑ, η υπηρεσία κυβερνοασφάλειας πρότεινε με έμφαση σε όλους τους οργανισμούς τόσο του δημόσιου όσο και του ιδιωτικού τομέα να δώσουν προτεραιότητα στην άμεση επιδιόρθωση αυτής της ευπάθειας για λόγους ασφαλείας.
Τον περασμένο μήνα, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) απαίτησε από τους ομοσπονδιακούς οργανισμούς να αντιμετωπίσουν μια σημαντική ευπάθεια ασφαλείας (CVE-2022-35405) που υπάρχει σε πολλά προϊόντα Zoho ManageEngine. Η εκμετάλλευση αυτού του σφάλματος θα έδινε σε μη εξουσιοδοτημένα άτομα πρόσβαση απομακρυσμένης εκτέλεσης κώδικα χωρίς να απαιτείται έλεγχος ταυτότητας.
Δείτε επίσης: Google Ads invitations: Γίνονται abuse για την διάδοση κακόβουλων link
Από τον Αύγουστο, ένα Metasploit module και ο κώδικας εκμετάλλευσης PoC έχουν διατεθεί στο κοινό ως εργαλεία για την επίτευξη RCE ως χρήστης συστήματος. Πρόκειται για απάντηση στο CVE-2022-35405.
Σε προηγούμενες προειδοποιήσεις, το FBI και η CISA προειδοποίησαν ότι οι κρατικές ομάδες hacking εκμεταλλεύονται τα τρωτά σημεία του ManageEngine για να επιτεθούν σε οργανισμούς που ανήκουν σε ένα ευρύ φάσμα τομέων υποδομών ζωτικής σημασίας, όπως ο χρηματοοικονομικός τομέας και η υγειονομική περίθαλψη.
Ένα σφάλμα RCE είναι ένας τύπος ευπάθειας λογισμικού που επιτρέπει σε έναν εισβολέα να εκτελέσει εξ αποστάσεως αυθαίρετο κώδικα σε οποιοδήποτε ευάλωτο σύστημα χωρίς έλεγχο ταυτότητας ή εξουσιοδότηση. Ένα σφάλμα RCE μπορεί να αξιοποιηθεί με διάφορους τρόπους -όπως μέσω υπηρεσιών δικτύου, εφαρμογών ιστού, συνημμένων email ή ακόμη και λειτουργικών συστημάτων- για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα ή να αποκτήσει τον πλήρη έλεγχο του στοχευόμενου συστήματος.
Πηγή πληροφοριών: bleepingcomputer.com
