Détecter les Exploits de la CVE-2022-47966 : Vulnérabilité Critique RCE dans Zoho ManageEngine en Exploitation Active
Table des matières :
Un autre jour, une autre RCE critique faisant le tour de la scène des cybermenaces. Cette fois, les praticiens de la sécurité sont invités à appliquer des correctifs dès que possible contre un bogue critique d’exécution de code à distance (CVE-2022-47966) affectant plusieurs produits Zoho ManageEngine. Depuis que le proof of concept (PoC) a été publié la semaine dernière, les experts ont observé une énorme augmentation des attaques en liberté exploitant la vulnérabilité mise en lumière.
Détection CVE-2022-47966
Les produits ManageEngine sont largement adoptés par les entreprises du monde entier pour effectuer des fonctions d’authentification, d’autorisations et de gestion des identités. Étant donné la nature de ce logiciel et compte tenu de la vague massive d’exploitations en liberté, la vulnérabilité en question représente un risque important pour les organisations. Pour sécuriser proactivement votre infrastructure contre d’éventuelles attaques, la plateforme Detection as Code de SOC Prime propose un lot de règles Sigma détectant l’activité malveillante associée à l’exploitation de CVE-2022-47966.
Toutes les détections sont compatibles avec plus de 25 technologies SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® v12, abordant les tactiques d’Accès Initial et d’Exécution avec Application Publique Exploitée (T1190) et Interpréteur de Commandes et Scripts (T1059) comme techniques correspondantes.
Appuyez sur le Explore Detections bouton pour accéder instantanément à l’ensemble complet des règles Sigma pour CVE-2022-47966, aux liens CTI correspondants, aux références ATT&CK, aux idées de chasse aux menaces et aux conseils d’ingénierie de détection.
Analyse CVE-2022-47966
Initialement découverte par le chercheur Viettel Cyber Security, la vulnérabilité a été révélée en novembre 2022 après que Zoho a annoncé des correctifs pour 24 produits sur site. Suivi sous le nom CVE-2022-47966, le bogue a reçu un statut de criticité permettant à un adversaire non authentifié d’exécuter du code malveillant sur le système.
Le problème provient d’une dépendance tierce non sécurisée sur la bibliothèque Apache Santuario qui est utilisée pour implémenter les normes de sécurité pour XML. Notamment, la faille est exploitable uniquement si l’authentification unique SAML est actuellement activée ou a été activée dans les produits affectés. Les attaquants doivent concevoir une demande SAML malveillante avec une signature invalide pour déclencher l’exploit. De plus, l’acteur de la menace est capable de prendre le contrôle complet du système, de vider les identifiants et de se déplacer latéralement dans l’environnement.
Le 19 janvier 2023, Horizon.ai a publié un aperçu technique approfondi de la CVE-2022-47966 ainsi que le PoC pour celui-ci. Simultanément, les chercheurs de Rapid7 ont signalé plusieurs compromissions liées observées depuis au moins le 17 janvier. Cela signifie que les attaquants ont pu exploiter le bogue même avant la sortie officielle du PoC en s’appuyant dessus pour désactiver les protections Microsoft Defender Antivirus et déposer des outils d’accès à distance supplémentaires.
Étant donné le nombre croissant d’exploitations en liberté, les organisations sont invitées à examiner les systèmes non corrigés et à passer immédiatement aux versions sécurisées des produits Zoho ManageEngine. Le conseil de sécurité de ManageEngine peut être trouvé ici.
Le bogue critique CVE-2022-47966 est ajouté en haut de la liste des vulnérabilités critiques découvertes dans les produits Zoho ManageEngine au cours de la dernière année. Pour rester en avance sur les attaques émergentes, les praticiens de la sécurité peuvent accéder à plus de 700 règles Sigma pour ManageEngine et d’autres CVE notoires en s’appuyant sur la défense collective contre les cybermenaces. Obtenez 120+ règles Sigma gratuitement à https://socprime.com/ ou l’ensemble du paquet de détection avec On Demand à https://my.socprime.com/pricing/.
