Rileva gli exploit CVE-2022-47966: Vulnerabilità RCE critica in Zoho ManageEngine sotto attacco attivo
Indice:
Un altro giorno, un’altra grave RCE sta facendo il giro nel panorama delle minacce informatiche. Questa volta i professionisti della sicurezza sono invitati a patchare il prima possibile contro un grave bug di esecuzione di codice remoto (CVE-2022-47966) che colpisce molti prodotti Zoho ManageEngine. Dall’uscita pubblica la scorsa settimana del proof of concept (PoC) exploit, gli esperti hanno osservato un enorme picco di attacchi in-the-wild che sfruttano la vulnerabilità sotto i riflettori.
Rilevamento CVE-2022-47966
I prodotti ManageEngine sono ampiamente adottati dalle imprese a livello globale per eseguire funzioni di autenticazione, autorizzazione e gestione dell’identità. Data la natura di questo software e in vista della massiccia ondata di exploit in-the-wild, la vulnerabilità in questione rappresenta un rischio significativo per le organizzazioni. Per proteggere proattivamente la tua infrastruttura da attacchi potenziali, la piattaforma Detection as Code di SOC Prime offre un set di regole Sigma che rilevano l’attività malevola associata allo sfruttamento di CVE-2022-47966.
Tutte le rilevazioni sono compatibili con oltre 25 tecnologie SIEM, EDR e XDR e sono allineate con il framework MITRE ATT&CK® v12, indirizzando le tattiche di Accesso Iniziale ed Esecuzione con Application Public-Facing Exploit (T1190) e Command and Scripting Interpreter (T1059) come tecniche corrispondenti.
Premi il pulsante Esplora Rilevamenti per accedere istantaneamente all’intero set di regole Sigma per CVE-2022-47966, ai link CTI corrispondenti, ai riferimenti ATT&CK, alle idee di threat hunting e alle linee guida di engineering di rilevamento.
Analisi CVE-2022-47966
Inizialmente scoperta dal ricercatore di Viettel Cyber Security, la vulnerabilità è stata portata alla luce nel novembre 2022 dopo che Zoho ha annunciato patch per 24 prodotti on-premises. Tracciato come CVE-2022-47966, il bug ha ricevuto uno stato di gravità critica che consente a un avversario non autenticato di eseguire codice malevolo sul sistema.
Il problema deriva da una dipendenza insicura di terze parti dalla libreria Apache Santuario che viene utilizzata per implementare standard di sicurezza per XML. Notamente, il difetto è sfruttabile solo nel caso il single sign-on SAML sia attivato o sia stato attivato nei prodotti interessati. Gli attaccanti devono creare una richiesta SAML malevola con una firma non valida per attivare l’exploit. Inoltre, l’attore della minaccia è in grado di ottenere il pieno controllo del sistema, scaricare credenziali e muoversi lateralmente all’interno dell’ambiente.
Il 19 gennaio 2023, Horizon.ai ha rilasciato una analisi tecnica approfondita del CVE-2022-47966 insieme al PoC exploit per essa. Contemporaneamente, i ricercatori di Rapid7 hanno riportato diversi compromessi correlati osservati almeno dal 17 gennaio. Ciò significa che gli attaccanti sono stati in grado di sfruttare il bug anche prima del rilascio ufficiale del PoC, usando esso per disabilitare le protezioni di Microsoft Defender Antivirus e distribuire ulteriori strumenti di accesso remoto.
Dato il numero crescente di exploit in-the-wild, alle organizzazioni è consigliato di esaminare i sistemi non patchati e aggiornare immediatamente le versioni sicure dei prodotti Zoho ManageEngine. L’avviso di sicurezza di ManageEngine può essere trovato qui.
Il grave bug CVE-2022-47966 sta venendo aggiunto al vertice della lista delle vulnerabilità critiche scoperte nei prodotti Zoho ManageEngine durante l’ultimo anno. Per rimanere al passo con gli attacchi emergenti, i professionisti della sicurezza possono accedere a oltre 700 regole Sigma per ManageEngine e altri CVE noti sfruttando la difesa informatica collettiva. Ottieni 120+ regole Sigma gratuite su https://socprime.com/ o l’intero stack di rilevamento su Richiesta a https://my.socprime.com/pricing/.
