Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε μια απομακρυσμένη εκτέλεση κώδικα (RCE) που επηρεάζει τα περισσότερα προϊόντα Zoho ManageEngine στον κατάλογό της με σφάλματα που είναι γνωστό ότι τυγχάνουν εκμετάλλευσης στη φύση.
Αυτό το ελάττωμα ασφαλείας παρακολουθείται ως CVE-2022-47966 και επιδιορθώθηκε σε πολλά κύματα ξεκινώντας από τις 27 Οκτωβρίου 2022.
Οι μη επαληθευμένοι φορείς απειλής μπορούν να την εκμεταλλευτούν εάν το single-sign-on (SSO) που βασίζεται σε SAML είναι ή ενεργοποιήθηκε τουλάχιστον μία φορά πριν από την επίθεση για την εκτέλεση αυθαίρετου κώδικα.
Την περασμένη εβδομάδα, οι ερευνητές ασφαλείας του Horizon3 κυκλοφόρησαν μια τεχνική ανάλυση κώδικα εκμετάλλευσης proof-of-concept (PoC). και προειδοποίησε για επερχόμενες επιθέσεις «ψεκασμού και προσευχής».
Βρήκαν πάνω από 8.300 περιπτώσεις ServiceDesk Plus και Endpoint Central που εκτέθηκαν στο Διαδίκτυο και υπολόγισαν ότι περίπου το 10% από αυτά είναι επίσης ευάλωτα.
Μια μέρα αργότερα, πολλές εταιρείες κυβερνοασφάλειας προειδοποίησαν ότι οι μη επιδιορθωμένες περιπτώσεις ManageEngine που εκτέθηκαν στο διαδίκτυο είναι τώρα στόχο του CVE-2022-47966 σε συνεχείς επιθέσεις για να ανοίξουν αντίστροφα κελύφη.
Η δραστηριότητα μετά την εκμετάλλευση που παρατηρήθηκε από ερευνητές ασφαλείας του Rapid7 δείχνει ότι οι εισβολείς απενεργοποιούν την προστασία κακόβουλου λογισμικού σε πραγματικό χρόνο σε παραβιασμένες συσκευές backdoor αναπτύσσοντας εργαλεία απομακρυσμένης πρόσβασης.