CVE-2022-47966 エクスプロイトの検出：積極的に悪用されている Zoho ManageEngine の重大な RCE 脆弱性

今日もまた、サイバー脅威のアリーナで重要なRCEが話題を呼んでいます。今回、セキュリティ専門家は、複数のZoho ManageEngine製品に影響を与える重大なリモートコード実行の脆弱性（CVE-2022-47966）に対する緊急のパッチ適用を求められています。攻撃の概念実証（PoC）が先週公開されて以降、注目を集めているこの脆弱性を利用したin-the-wild攻撃の大幅な急増が専門家により観測されています。

CVE-2022-47966 検出

ManageEngine製品は、認証、認可、アイデンティティ管理機能を実行するためにグローバルに企業に広く採用されています。このソフトウェアの性質とin-the-wildの大規模な悪用を考えると、問題の脆弱性は組織に対して重大なリスクをもたらします。潜在的な攻撃からインフラを積極的に保護するために、SOC PrimeのDetection as Codeプラットフォームは、CVE-2022-47966の悪用に関連する悪質な活動を検出するSigmaルールのセットを提供しています。

すべての検出は、25以上のSIEM、EDR、およびXDR技術と互換性があり、 MITRE ATT&CK®フレームワーク v12に対応しており、Public-Facing Application (T1190)を悪用するInitial AccessおよびExecutionの戦術と、Command and Scripting Interpreter (T1059)としての関連技術に対処しています。

「 探索検出項目 」ボタンを押すと、CVE-2022-47966用のSigmaルールの全セット、対応するCTIリンク、ATT&CK参照、脅威ハンティングのアイデア、および検出エンジニアリングのガイダンスに即座にアクセスできます。

探索検出項目

CVE-2022-47966 分析

最初に 発見された Viettel Cyber Securityの研究者によって、2022年11月にZohoが24のオンプレミス製品向けのパッチを発表した後にこの脆弱性が明らかになりました。CVE-2022-47966として追跡されるこのバグは、認証されていない攻撃者にシステム上で悪意のあるコードを実行させる重大な重要度のステータスを受けました。

この問題は、XMLのセキュリティ標準を実装するために使用される Apache Santuario ライブラリへの安全でないサードパーティ依存関係に起因しています。特に、欠陥は、SAMLシングルサインオンが現在有効になっているか、影響を受けた製品で有効にされている場合にのみ悪用可能です。攻撃者は、不正な署名を持つ悪意のあるSAMLリクエストを作成し、悪用を引き起こす必要があります。さらに、脅威アクターはシステムを完全に制御し、資格情報をダンプし、環境内を横に移動することができます。

2023年1月19日、Horizon.aiは CVE-2022-47966に関する詳細な技術概要 とそのPoCを同時にリリースしました。同時に、Rapid7の研究者は、少なくとも1月17日以降に観測された関連する妥協を 報告しました 。これは、攻撃者が公式のPoC公開前にこのバグを悪用し、Microsoft Defender Antivirusの保護を無効にし、追加のリモートアクセスツールをドロップすることが可能だったことを意味します。 

野生での悪用の増加に伴い、組織は未パッチのシステムを確認し、Zoho ManageEngine製品の安全なバージョンに即座にアップグレードするよう促されています。ManageEngineのセキュリティアドバイザリは こちらで見つかります.

重要なCVE-2022-47966のバグは、 昨年にZoho ManageEngine製品で発見された重要な脆弱性のリスト のトップに追加されつつあります。新たに出現する攻撃を抑えるために、セキュリティ専門家が共同のサイバー防御を活用することで、ManageEngineおよび他の悪名高いCVEに対する700以上のSigmaルールにアクセスできます。「 120以上のSigmaルールを無料で取得するには https://socprime.com/ 、または「オンデマンド」の全検出スタックは https://my.socprime.com/pricing/.