Uma falha crítica do Zoho que permite a execução remota de código (RCE) sem autenticação em vários produtos VMware terá o código de exploração de prova de conceito (PoC) lançado ainda esta semana.
A falha de segurança em questão foi rastreada como CVE-2022-47966 e ocorre devido ao uso de uma dependência de terceiros desatualizada e vulnerável, Apache Santuario. A exploração bem-sucedida permite que agentes de ameaças não autenticados executem código arbitrário nos servidores ManageEngine se o logon único (SSO) baseado em SAML estiver ou tiver sido ativado pelo menos uma vez antes do ataque.
Zoho e a falha crítica
A lista de software vulnerável inclui quase todos os produtos ManageEngine. Mas, felizmente, o Zoho já os corrigiu em ondas a partir de 27 de outubro de 2022, atualizando o módulo de terceiros para uma versão mais recente.
Na sexta-feira, pesquisadores de segurança da equipe de ataque do Horizon3 alertaram os administradores de que eles criaram uma exploração de prova de conceito (PoC) para CVE-2022-47966. Embora ainda não tenham divulgado detalhes técnicos e apenas indicadores compartilhados de comprometimento (IOCs) que os defensores possam usar para determinar se seus sistemas foram comprometidos, a Horizon3 planeja lançar seu exploit PoC ainda esta semana.
Os pesquisadores do Horizon3 também compartilharam a captura de tela a seguir, mostrando sua exploração em ação contra uma instância vulnerável do ManageEngine ServiceDesk Plus.
10% de todas as instâncias expostas vulneráveis a ataques
Ao examinar apenas dois dos produtos vulneráveis da ManageEngine, ServiceDesk Plus e Endpoint Central, os pesquisadores encontraram milhares de servidores sem patches expostos online via Shodan. Destes, centenas também tinham SAML ativado, com cerca de 10% de todos os produtos ManageEngine expostos vulneráveis a ataques.
Mesmo que não haja relatos públicos de ataques aproveitando essa vulnerabilidade e nenhuma tentativa de explorá-la conforme a empresa de segurança cibernética GreyNoise, invasores motivados provavelmente agirão rapidamente para criar suas próprias explorações de RCE assim que a Horizon3 publicar seu código PoC, mesmo que liberem um versão mínima.
Os servidores Zoho ManageEngine estão sob ataque constante nos últimos anos, com hackers de estado-nação usando táticas e ferramentas semelhantes às do grupo de hackers APT27, vinculado à China, visando-os entre agosto e outubro de 2021.
O Bleeping Ciomputer lembra que as instâncias do Desktop Central também foram hackeadas em julho de 2020, com os agentes de ameaças vendendo acesso a redes de organizações violadas em fóruns de hackers.