Исследователи выпустили PoC-эксплоит для RCE-уязвимости в нескольких продуктах Zoho ManageEngine. Проблема, допускающая удаленное выполнение произвольного кода без аутентификации (CVE-2022-47966), связана с использованием устаревшей и уязвимой версии библиотеки Apache Santuario.

Эта проблема позволяет неаутентифицированным атакующим выполнять произвольный код в экземплярах ManageEngine, если система единого входа (SSO) на основе SAML включена или была включена хотя бы один раз перед атакой.

Проблема представляет опасность для почти всех продуктов ManageEngine, однако разработчики уже выпустили несколько «волн» патчей, начиная с 27 октября 2022 года, обновляя зависимости до безопасной версии. Уязвимые перед CVE-2022-47966 продукты перечислены в таблице в конце этой публикации.

На прошлой неделе эксперты из компании Horizon3 предупреждали, что со дня на день выпустят PoC-эксплоит для этого опасного бага, и теперь сдержали свое слово. Вчера компания обнародовала PoC-эксплоит и технический анализ уязвимости.

«Уязвимость позволяет злоумышленнику добиться удаленного выполнения кода, отправив HTTP POST-запрос, содержащий вредоносный ответ SAML, — пишут исследователи. — Наш PoC-эксплоит злоупотребляет уязвимостью для удаленного и неаутентифицированного выполнения кода и запуска команд с помощью Java Runtime.exec».

Сообщается, что эксплоит был протестирован на ServiceDesk Plus и Endpoint Central, и эксперты ожидают, что «PoC будет работать без изменений во многих продуктах ManageEngine, которые делят кодовую базу с ServiceDesk Plus или EndpointCentral».

Ранее аналитики Horizon3 уже предупреждали о том, что релиз эксплоита может повлечь за собой волну атак на CVE-2022-47966, поскольку «уязвимость легко использовать, и злоумышленники могут использовать стратегию spray and pray».

Хуже того, компания обнаружила в интернете тысячи непропатченных серверов ServiceDesk Plus и Endpoint Central, хотя отмечалось, что только около 10% всех обнаруженных устройств уязвимы перед CVE-2022-47966, поскольку на них включен SAML.

И хотя пока сообщений об атаках с использованием этой уязвимости не было, эксперты уверены, что злоумышленники, скорее всего, быстро начнут разрабатывать собственные эксплоиты на основе PoC Horizon3.

Название продукта Затронутые версии Исправленные версии Дата выпуска
Access Manager Plus* 4307 и ниже 4308 7/11/2022
Active Directory 360** 4309 и ниже 4310 28/10/2022
ADAudit Plus** 7080 и ниже 7081 28/10/2022
ADManager Plus** 7161 и ниже 7162 28/10/2022
ADSelfService Plus** 6210 и ниже 6211 28/10/2022
Analytics Plus* 5140 и ниже 5150 7/11/2022
Application Control Plus* 10.1.2220.17 и ниже 10.1.2220.18 28/10/2022
Asset Explorer** 6982 и ниже 6983 27/10/2022
Browser Security Plus* 11.1.2238.5 и ниже 11.1.2238.6 28/10/2022
Device Control Plus* 10.1.2220.17 и ниже 10.1.2220.18 28/10/2022
Endpoint Central* 10.1.2228.10 и ниже 10.1.2228.11 28/10/2022
Endpoint Central MSP* 10.1.2228.10 и ниже 10.1.2228.11 28/10/2022
Endpoint DLP* 10.1.2137.5 и ниже 10.1.2137.6 28/10/2022
Key Manager Plus* 6400 и ниже 6401 27/10/2022
OS Deployer* 1.1.2243.0 и ниже 1.1.2243.1 28/10/2022
PAM 360* 5712 и ниже 5713 7/11/2022
Password Manager Pro* 12123 и ниже 12124 7/11/2022
Patch Manager Plus* 10.1.2220.17 и ниже 10.1.2220.18 28/10/2022
Remote Access Plus* 10.1.2228.10 и ниже 10.1.2228.11 28/10/2022
Remote Monitoring and Management (RMM)* 10.1.40 и ниже 10.1.41 29/10/2022
ServiceDesk Plus** 14003 и ниже 14004 27/10/2022
ServiceDesk Plus MSP** 13000 и ниже 13001 27/10/2022
SupportCenter Plus** 11017 to 11025 11026 28/10/2022
Vulnerability Manager Plus* 10.1.2220.17 и ниже 10.1.2220.18 28/10/2022

* — Уязвимость актуальна, только если SSO-система на основе SAML настроена и в данный момент активна.

** — Уязвимость актуальна, если SSO-система на основе SAML была настроена хотя бы один раз в прошлом, независимо от текущего статуса системы SSO.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии