Zoho ManageEngine: verrà presto rilasciato un codice di exploit proof-of-concept (PoC) per una vulnerabilità di sicurezza critica. La vulnerabilità consente l’esecuzione di codice remoto (RCE) senza autenticazione in diversi prodotti.
Gli utenti sono stati quindi invitati a patchare le loro istanze.
Zoho ManageEngine, la vulnerabilità
Il problema in questione è CVE-2022-47966. Si tratta di una vulnerabilità di esecuzione di codice remoto non autenticato. Interessa diversi prodotti a causa dell’uso di una dipendenza di terze parti non aggiornata, Apache Santuario.
“Questa vulnerabilità consente a un avversario non autenticato di eseguire codice arbitrario”, ha avvertito Zoho in un avviso pubblicato alla fine dello scorso anno.
Il fornitore di software aziendali ha sottolineato che la vulnerabilità riguarda tutte le configurazioni di ManageEngine che hanno la funzione SAML single sign-on (SSO) abilitata, o che l’avevano abilitata in passato.
Horizon3.ai ha ora rilasciato gli Indicatori di Compromissione (IoC) associati alla falla, affermando di essere riuscita a riprodurre con successo l’exploit contro i prodotti ManageEngine ServiceDesk Plus e ManageEngine Endpoint Central.
Questa è la dichiarazione del ricercatore James Horseman:
La vulnerabilità è facile da sfruttare ed è un buon candidato per gli aggressori per la tecnica “spray and pray” attraverso Internet. Questa vulnerabilità consente l’esecuzione di codice in remoto come NT AUTHORITYSYSTEM, dando essenzialmente a un aggressore il controllo completo del sistema.
La tecnica “spray and pray” consiste in campagne massive, che colpiscono la massa di utenti. L’intento degli attaccanti è intaccare il maggior numero possibile di vittime.
L’azienda di San Francisco ha affermato che un aggressore in possesso di tali privilegi elevati potrebbe utilizzarli per rubare credenziali con l’obiettivo di effettuare spostamenti laterali. E ha specificato che l’attore della minaccia dovrà inviare una richiesta SAML appositamente creata per attivare l’exploit.
Prodotti ManageEngine esposti
Horizon3.ai ha inoltre richiamato l’attenzione sul fatto che ci sono più di 1.000 istanze di prodotti ManageEngine esposti a Internet con SAML attualmente abilitato, trasformandoli potenzialmente in obiettivi redditizi.
Non è raro che gli hacker sfruttino la consapevolezza di una vulnerabilità importante per campagne malevole. È quindi essenziale installare le correzioni il prima possibile, indipendentemente dalla configurazione SAML.
