Detectar Exploits CVE-2022-47966: Vulnerabilidad RCE Crítica en Zoho ManageEngine bajo Explotación Activa
Tabla de contenidos:
Otro día, otra vulnerabilidad crítica de RCE dando vueltas en el ámbito de las ciberamenazas. Esta vez, se insta a los profesionales de seguridad a parchear lo antes posible contra un error crítico de ejecución remota de código (CVE-2022-47966) que afecta a múltiples productos de Zoho ManageEngine. Desde que se lanzó públicamente la prueba de concepto (PoC) la semana pasada, los expertos han observado un gran aumento en los ataques en vivo aprovechando la vulnerabilidad destacada.
Detección CVE-2022-47966
Los productos ManageEngine son adoptados globalmente por empresas para realizar funciones de autenticación, autorizaciones y gestión de identidades. Dada la naturaleza de este software y en vista de la masiva ola de explotaciones en vivo, la vulnerabilidad en cuestión representa un riesgo significativo para las organizaciones. Para asegurar proactivamente su infraestructura de posibles ataques, la plataforma Detection as Code de SOC Prime ofrece un conjunto de reglas Sigma que detectan la actividad maliciosa asociada con la explotación de CVE-2022-47966.
Todas las detecciones son compatibles con más de 25 tecnologías SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® v12, abordando las tácticas de Acceso Inicial y Ejecución con la técnica de Explotación de Aplicaciones Externas (T1190) y El Interprete de Comandos y Scripts (T1059) como técnicas correspondientes.
Presiona el Explorar detecciones botón para acceder instantáneamente al conjunto completo de reglas Sigma para CVE-2022-47966, enlaces CTI correspondientes, referencias ATT&CK, ideas de caza de amenazas y orientación de ingeniería de detección.
Análisis CVE-2022-47966
Inicialmente descubierto por el investigador de Viettel Cyber Security, la vulnerabilidad salió a la luz en noviembre de 2022 después de que Zoho anunciara parches para 24 productos en sitio. Identificado como CVE-2022-47966, el error recibió un estatus de severidad crítica que permite a un adversario no autenticado ejecutar código malicioso en el sistema.
El problema se origina a partir de una dependencia insegura de terceros en la biblioteca Apache Santuario que se usa para implementar estándares de seguridad para XML. Notablemente, la falla es explotable solo si SAML de inicio de sesión único está actualmente activado o se ha habilitado en los productos afectados. Los atacantes necesitan crear una solicitud SAML maliciosa con una firma inválida para activar el exploit. Además, el actor de la amenaza es capaz de obtener control completo del sistema, extraer credenciales y moverse lateralmente a través del entorno.
El 19 de enero de 2023, Horizon.ai lanzó una visión técnica detallada del CVE-2022-47966 junto con el PoC para el mismo. Simultáneamente, los investigadores de Rapid7 informaron varios compromisos relacionados observados desde al menos el 17 de enero. Esto significa que los atacantes pudieron explotar el error incluso antes del lanzamiento oficial del PoC, usándolo para deshabilitar las protecciones de Microsoft Defender Antivirus y desplegar herramientas adicionales de acceso remoto.
Dado el creciente número de explotaciones en vivo, se solicita a las organizaciones que revisen los sistemas sin parchear e inmediatamente actualicen a versiones seguras de los productos Zoho ManageEngine. La asesoría de seguridad de ManageEngine puede encontrarse aquí.
El error crítico CVE-2022-47966 está siendo añadido a la parte superior de la lista de vulnerabilidades críticas descubiertas en los productos de Zoho ManageEngine durante el último año. Para mantenerse a la vanguardia de los ataques emergentes, los profesionales de seguridad pueden acceder a más de 700 reglas Sigma para ManageEngine y otros CVEs notorios aprovechando la defensa cibernética colectiva. Obtenga más de 120 reglas Sigma gratis en https://socprime.com/ o todo el conjunto de detección bajo demanda en https://my.socprime.com/pricing/.
