17 января исследователи кибербезопасности из команды Horizon3 Attack Team объявили об уязвимости для подтверждения концепции (PoC), которая существует во многих продуктах VMware.
Согласно сообщениям, уязвимость CVE-2022-47966 может позволить злоумышленникам удаленно выполнять код на серверах ManageEngine без аутентификации, и эти серверы в какой-то момент в прошлом включали протокол единого входа (SSO) на основе SAML, поэтому Turning выключение тоже ничего не исправляет.
По словам исследователей, уязвимые конечные точки используют устаревшую стороннюю зависимость под названием Apache Santuario, поэтому злоумышленники могут удаленно выполнять код через идентификатор NT AUTHORITY\SYSTEM и получать полный контроль над системой.
Исследователи предупреждают, что уязвимость позволяет удаленно выполнять код с правами NT AUTHORITY\SYSTEM, что, по сути, дает злоумышленнику полный контроль над системой».
«Если пользователь определяет, что его информация была скомпрометирована, потребуется дополнительное расследование для определения ущерба, нанесенного злоумышленником. Как только злоумышленник получит доступ на уровне системы к конечной точке, он может начать сбрасывать учетные данные через LSASS или использовать существующие инструменты для доступа к сохраненным учетным данным приложения для горизонтальной передачи».
Компания Zoho выпустила соответствующий патч, и пользователи, которым он нужен, должны загрузить его как можно скорее.
Стоит отметить, что после поиска неисправленных конечных точек с помощью Shodan исследователи все же обнаружили «тысячи» уязвимых экземпляров продуктов ManageEngine, ServiceDesk Plus и Endpoint Central, поэтому будьте бдительны.
