مرکز مدیریت راهبردی افتا، مرکز CISA هشداری درباره سوء استفاده مهاجمان از آسیبپذیری محصولات Zoho Manage Engine دادند.
به گزارش افتانا، مرکز CISA آمریکا در گزارشی نسبت به بهرهجویی مهاجمان از یک ضعف امنیتی از نوع «اجرای کد از راه دور» (Remote Code Execution – به اختصار RCE)، در محصولات
Zoho ManageEngine هشدار داده است.
این
آسیبپذیری «حیاتی» (Critical) دارای شناسه CVE-2022-47966 است.
شرکت زوهو (Zoho)، با انتشار توصیهنامهای در نشانی زیر، جزییات وصله را منتشر کرده و از راهبران امنیتی خواسته است تا نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنند:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
چنانچه Single Sign On – به اختصار SSO - مبتنی بر SAML حداقل یک بار قبل از حمله برای اجرای کد دلخواه فعال شده باشد، مهاجمان احراز هویت نشده قادر خواهند بود از آن بهرهجویی کنند.
محققان امنیتی Horizon3 نیز در نشانیهای زیر به تحلیل ضعف امنیتی مذکور و نمونه کد بهرهجو (Proof-of-Concept – به اختصار PoC) پرداختند.
https://www.horizon3.ai/manageengine-cve-2022-47966-technical-deep-dive/
مهاجمان در حملات Shell معکوس در حال بهرهجویی از ضعف امنیتی CVE-2022-47966 در نمونههای ManageEngine وصله نشده متصل به اینترنت هستند.
در جریان این حملات پس از غیرفعال کردن ضدبدافزار از طریق بکارگیری ابزارهای دسترسی از راه دور اقدام به آلودهسازی دستگاه به در پشتی میکنند.
بستر ManageEngine با توجه به کاربرد وسیع و ماهیت همهجانبه آن، هدف جذابی برای مهاجمان است.
در ماه سپتامبر نیز آسیبپذیری دیگری با درجه اهمیت «حیاتی» با شناسه CVE-2022-35405 در بسترهای مختلف Zoho ManageEngine شناسایی شد که به دنبال بهرهجویی موفق امکان اجرای کد مخرب را از راه دور فراهم میکند؛ شرکت زوهو با انتشار توصیهنامه امنیتی زیر، بهروزرسانی مربوط را نیز ارائه داد.