Experts Sound Alarm Over Growing Attacks Exploiting Zoho ManageEngine Products
2023/02/23 TheHackerNews — 複数の Zoho ManageEngine 製品に影響を及ぼすパッチ公開済の脆弱性が、2023年1月20日以降において、複数の脅威アクターにより悪用されていたことが判明した。この脆弱性 CVE-2022-47966 (CVSS:9.8) は、リモート・コード実行を許すものであり、悪用に成功した未認証の攻撃者は、影響のあるシステムを完全に乗っ取ることが可能になる。
この脆弱性が影響を及ぼす範囲は、Access Manager Plus/ADManager Plus/ADSelfService Plus/Password Manager Pro/Remote Access Plus/Remote Monitoring and Management (RMM) などを含む、24種類もの製品にいたるという。
Bitdefender の Martin Zugec は、「XML 署名の検証において、古いサードパーティ依存関係が存在する、Apache Santuario が使用されているため、認証されていない攻撃者によるリモート コード実行が可能になる」と、The Hacker News と共有したテクニカル・アドバイザリで説明している。
ルーマニアのサイバー・セキュリティ企業である Bitdefender は、ペネトレーション・テスト企業である Horizon3.ai が、先月に PoC を公開した翌日から、この脆弱性の悪用が始まったとしている。
この脆弱性を悪用した攻撃による大多数の被害者は、オーストラリア/カナダ/イタリア/メキシコ/オランダ/ナイジェリア/ウクライナ/英国/米国などに所在している。現在までに検知された攻撃の主目的は、脆弱なホストへの Netcat/Cobalt Strike Beacon などのツールの展開にある。
イニシャル・アクセスを利用して、リモート・アクセス用の AnyDesk ソフトウェアをインストールしようとするものや、Buhti というランサムウェアの Windows 版をインストールしようとする驚異アクターたちがいたという。
さらに、ManageEngine の脆弱性を悪用する脅威アクターが、次の段階のペイロードを実行するマルウェアを展開し、標的型諜報活動を行った形跡もあるとのことだ。
Zugec は、「この脆弱性に対抗するには、最新のセキュリティ・パッチでシステムを更新することが必要だが、それと同時に、強固な境界防御を採用することの重要性が改めて明確になっている。適切なパッチ・マネージメントや、リスク・マネジメントが行われていない状況により、多くの組織が古い脆弱性に対して脆弱であることを攻撃者が知っていれば、新しい脆弱性や新しい技術を探し回る必要はない」と述べている。
PoC エクスプロイトが公開された直後から、対象となる脆弱性を狙う攻撃が多発するという状況は、よく聞かれる話でもあります。この脆弱性 脆弱性 CVE-2022-47966 に関しては、以下の記事により、繰り返して報道されています。
2023/01/17:脆弱性 CVE-2022-47966:PoC エクスプロイトが登場
2023/01/20:脆弱性 CVE-2022-47966:活発な悪用と攻撃
2023/01/23:CISA KEV:CVE-2022-47966 を悪用リストに追加
IoT OT Security News 
You must be logged in to post a comment.