Erkennen Sie CVE-2022-47966-Exploits: Kritische Zoho ManageEngine RCE-Schwachstelle unter aktiver Ausnutzung
Inhaltsverzeichnis:
Ein weiterer Tag, eine weitere kritische RCE macht in der Cyberbedrohungsarena die Runde. Dieses Mal wird Sicherheitsexperten dringend geraten, so schnell wie möglich gegen einen kritischen Remote-Code-Ausführungsfehler (CVE-2022-47966) zu patchen, der mehrere Zoho ManageEngine-Produkte betrifft. Seit der öffentliche Release des Proof-of-Concept (PoC) Exploits letzte Woche beobachteten Experten einen enormen Anstieg von Angriffen in freier Wildbahn, die die im Rampenlicht stehende Schwachstelle ausnutzen.
CVE-2022-47966 Erkennung
ManageEngine-Produkte werden weltweit von Unternehmen eingesetzt, um Authentifizierungs-, Autorisierungs- und Identitätsverwaltungsfunktionen durchzuführen. Angesichts der Natur dieser Software und in Anbetracht der massiven Welle von Ausnutzungen in freier Wildbahn stellt die betreffende Schwachstelle ein erhebliches Risiko für Organisationen dar. Um Ihre Infrastruktur proaktiv vor potenziellen Angriffen zu sichern, bietet die Detection as Code Platform von SOC Prime eine Reihe von Sigma-Regeln, die die bösartige Aktivität in Verbindung mit der Ausnutzung von CVE-2022-47966 erkennen.
Alle Erkennungen sind kompatibel mit über 25+ SIEM-, EDR- und XDR-Technologien und sind auf das MITRE ATT&CK® Framework v12 abgestimmt, das die Taktiken Initial Access und Execution mit Exploit Public-Facing Application (T1190) und Command and Scripting Interpreter (T1059) als entsprechende Techniken adressiert.
Drücken Sie die Detektionen erkunden Schaltfläche, um sofort auf das gesamte Set der Sigma-Regeln für CVE-2022-47966, die entsprechenden CTI-Links, ATT&CK-Referenzen, Bedrohungsjagdidenn, und Leitfaden zur Detektionstechnik zuzugreifen.
CVE-2022-47966 Analyse
Ursprünglich entdeckt vom Viettel Cyber Security Forscher, wurde die Schwachstelle im November 2022 bekannt gemacht, nachdem Zoho Patches für 24 On-Premises-Produkte angekündigt hatte. Die Schwachstelle, die als CVE-2022-47966 verfolgt wird, erhielt einen kritischen Schweregrad, der einem nicht authentifizierten Angreifer ermöglicht, bösartigen Code auf dem System auszuführen.
Das Problem resultiert aus einer unsicheren Abhängigkeit von Drittanbietern in der Apache Santuario Bibliothek, die zur Umsetzung von Sicherheitsstandards für XML verwendet wird. Bemerkenswerterweise ist der Fehler nur ausnutzbar, wenn SAML-Single-Sign-On derzeit aktiviert ist oder in den betroffenen Produkten aktiviert wurde. Angreifer müssen eine bösartige SAML-Anfrage mit einer ungültigen Signatur erstellen, um den Exploit auszulösen. Weiterhin kann der Bedrohungsakteur die vollständige Kontrolle über das System erlangen, Anmeldedaten auslesen und sich seitlich über die Umgebung bewegen.
Am 19. Januar 2023 veröffentlichte Horizon.ai eine detaillierte technische Übersicht über CVE-2022-47966 zusammen mit dem PoC Exploit dafür. Gleichzeitig haben Rapid7 Forscher mehrere damit verbundene Kompromittierungen gemeldet die seit mindestens dem 17. Januar beobachtet wurden. Dies bedeutet, dass Angreifer in der Lage waren, den Fehler auszunutzen, noch bevor der offizielle PoC veröffentlicht wurde, indem sie sich darauf verließen, um Microsoft Defender Antivirus-Schutz zu deaktivieren und weitere Remote-Access-Tools herunterzuladen.
Angesichts der zunehmenden Anzahl von Ausbeutungen in freier Wildbahn werden Organisationen aufgefordert, die nicht gepatchten Systeme zu überprüfen und sofort auf sichere Versionen der Zoho ManageEngine-Produkte zu aktualisieren. Die Sicherheitsberatung von ManageEngine könnte hier.
gefunden werden. im letzten Jahr gesetzt. Um neuen Angriffen einen Schritt voraus zu sein, können Sicherheitsexperten über 700 Sigma-Regeln für ManageEngine und andere berüchtigte CVEs durch kollektive Cyber-Verteidigung nutzen. Erhalten Sie Liste der kritischen in Zoho ManageEngine-Produkten entdeckten Schwachstellen über 120 Sigma-Regeln kostenlos bei https://socprime.com/ oder den gesamten Detection-Stack mit On Demand bei https://my.socprime.com/pricing/.
