CISA warns of critical ManageEngine RCE bug exploited in attacks
2023/01/23 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zoho ManageEngine 製品群の大半に影響を及ぼすリモートコード実行 (RCE) を、野放し状態で悪用されているとして KEV カタログに追加した。この脆弱性 CVE-2022-47966 は、2022年10月27日から製品ごとにパッチが適用されている。SAML ベースのシングルサインオン (SSO) が有効である場合や、一度でも有効であった場合に、未認証の脅威アクターに悪用され、任意のコード実行にいたる恐れがある。
先週には Horizon3 のセキュリティ研究者たちが、PoC エクスプロイトコードを含む技術分析を発表し、Spray and Pray 攻撃について警鐘を鳴らした。
彼らは、インターネットに公開された、8,300 以上の ServiceDesk Plus/Endpoint Central インスタンスを発見し、そのうちの約 10% が脆弱であるとも推定している。
その翌日には複数のサイバー・セキュリティ企業が、オンラインで公開されている ManageEngine インスタンスの、パッチ未適用の脆弱性 CVE-2022-47966 が、進行中のリバースシェル攻撃で標的になっていると警告している。
Rapid7 のセキュリティ研究者たちが検知した攻撃後のアクティビティにおいて、攻撃者たちはリアルタイム・マルウェア保護を無効にし、リモートアクセス・ツールを展開することで、感染させたデバイスをバックドア化していることが判明している。
すべての政府機関に対して優先的なパッチ適用が促される
2021年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された脆弱性に対して、すべての連邦民間行政機関 (FCEB) はパッチを適用する必要がある。
2月13日までの 3週間で、それぞれの連邦政府機関は、進行中の悪用の試みに対してネットワークの安全性を確保する必要がある。この BOD 22-01 は、米国の FCEB 機関にのみ適用されるが、民間および公共のすべての組織が、この脆弱性対するパッチを優先するよう、CISA は強く求めている。
2023年1月23日の時点で CISA は、「この種の脆弱性は、脅威アクターが頻繁に攻撃する経路であり、連邦政府企業にとって深刻なリスクとなる」と述べている。
2022年9月に CISA は連邦政府機関に対して、Zoho ManageEngine の複数の製品に存在する、リモートコード実行の脆弱性 CVE-2022-35405 に対して、パッチを適用するよう命じている。この CVE-2022-35405 を標的とした、Metasploit モジュールと PoC エクスプロイトコードが、8月からオンラインで利用可能になっている。
以前にも CISA と FBI は、国家に支援されたグループが ManageEngine の欠陥を悪用して、金融サービスやヘルスケアなどの重要インフラ分野を標的にしていると警告していた。
2023/01/20 の「Zoho ManageEngine の RCE 脆弱性:活発な悪用と攻撃」でお伝えしているように、この脆弱性 CVE-2022-47966 が悪用され、CISA の KEV にも追加されました。ManageEngine のアドバイザリを見ると、幅広い製品群に影響を及ぼす脆弱性であることが分かります。インターネットに露出しているインスタンスも多いようなので、パッチが急がれます。
IoT OT Security News 
You must be logged in to post a comment.