Zoho ManageEngine PoC Exploit to be Released Soon – Patch Before It’s Too Late!
2023/01/17 TheHackerNews — Zoho ManageEngine のユーザーが催促されているのは、PoC エクスプロイト・コードの公開に先立って、深刻なセキュリティ脆弱性を持つインスタンスにパッチを適用することだ。この脆弱性 CVE-2022-47966 は、旧来からのサードパーティ依存関係である Apache Santuario の使用により、未認証のリモート・コード実行が発生し、複数の製品に影響を与える可能性を生じるというものだ。
昨年末に発行したアドバイザリで Zoho は、「SAML シングル・サイン・オン (SSO) 機能を有効にしている、あるいは、過去に有効にしていた、すべての ManageEngine セットアップに対して、この脆弱性は影響を及ぼす」と警告している。
Horizon3.ai が公開した、この脆弱性に関連する IOC (Indicators of Compromise) により、ManageEngine ServiceDesk Plus/Endpoint Central 製品に対する、エクスプロイトの再現に成功したことが判明した。
研究者である James Horseman は、「この脆弱性は悪用が容易であり、攻撃者がインターネット上で “Spray and Pray” を行うのに適している。この脆弱性は、NT AUTHORITY\SYSTEM としてのリモート・コード実行を可能にし、攻撃者によるシステムの完全な制御を可能にする」と述べている。
Horizon3.ai は、この種の権限昇格に成功した攻撃者は、窃取した資格情報を用いて横方向へと移動していくが、悪用を開始する前に、特別に細工した SAML リクエストを送信する必要があると付け加えている。
さらに同社は、SAML が有効な状態でインターネットに公開されている、ManageEngine 製品のインスタンスが 1,000以上存在し、これらが格好のターゲットになり得ることに注意を促している。
深刻な脆弱性を認識しているハッカーが、それを悪用し、悪質なキャンペーンを実施することは珍しいものではない。そのため、SAML の設定にかかわらず、可能な限り早急の、修正プログラムをインストールすることが重要となる。
この、Apache Santuario の脆弱性 CVE-2022-47966 により、SAML の存在が弱点になってしまうということなのでしょう。なお、文中の Spray and Pray というフレーズですが、下手な鉄砲数撃ちゃ当たるという意味があるそうです。Password Spray に似た、なんらかの総当り攻撃なのでしょう。なお、Zoho ManageEngine に関しては、以下のトピックがあります。
2023/01/04:ManageEngine の深刻な脆弱性 CVE-2022-47523 が FIX
2022/09/23:CISA KEV 警告 22/09/22:Zoho の CVE-2022-35405
2022/07/01:Zoho ManageEngine ADAudit Plus のバグ
IoT OT Security News 
You must be logged in to post a comment.