CVE-2022-47966 익스플로잇 탐지: 실제로 악용되고 있는 중대한 Zoho ManageEngine RCE 취약점

또 다른 날, 사이버 위협 분야에서 중요한 원격 코드 실행(RCE)이 회자되고 있습니다. 이번에는 여러 Zoho ManageEngine 제품에 영향을 미치는 치명적인 원격 코드 실행 버그(CVE-2022-47966)로부터 빠르게 패치할 것을 보안 담당자들에게 촉구하고 있습니다. 개념 증명(PoC) 익스플로잇이 지난주 공개된 이후, 전문가들은 이 취약점을 활용한 야생의 공격이 크게 증가하고 있음을 관찰했습니다.

CVE-2022-47966 탐지

ManageEngine 제품은 전 세계 기업들이 인증, 권한 부여 및 ID 관리 기능을 수행하기 위해 널리 채택하고 있습니다. 이 소프트웨어의 특성과 야생의 대규모 exploitations를 감안할 때, 이 취약점은 조직에 상당한 위험을 초래합니다. 잠재적인 공격으로부터 인프라를 사전적으로 보호하기 위해, SOC Prime의 Detection as Code Platform은 CVE-2022-47966 exploitation과 관련된 악성 활동을 탐지하는 Sigma 규칙 배치를 제공합니다.

모든 탐지는 25개 이상의 SIEM, EDR 및 XDR 기술과 호환되며, MITRE ATT&CK® 프레임워크 v12와 일치하며, Exploit Public-Facing Application (T1190) 및 Command and Scripting Interpreter (T1059)를 각각의 기술로 초기 접근 및 실행 전술을 다룹니다.

버튼을 눌러 탐지 탐색 CVE-2022-47966에 대한 전체 Sigma 규칙, 관련 CTI 링크, ATT&CK 참조, 위협 헌팅 아이디어 및 탐지 엔지니어링 가이던스를 즉시 액세스하십시오.

탐지 탐색

CVE-2022-47966 분석

처음 발견한 Viettel Cyber Security 연구원이, 이 취약점은 2022년 11월 Zoho가 24개의 온프레미스 제품에 대한 패치를 발표한 후 밝혀졌습니다. CVE-2022-47966으로 추적된 이 버그는 인증되지 않은 상대방이 시스템에서 악성 코드를 실행할 수 있도록 하는 치명적인 심각도 상태를 받았습니다. by the Viettel Cyber Security researcher, the vulnerability was brought to light in November 2022 after Zoho announced patches for 24 on-premises products. Tracked as CVE-2022-47966, the bug received a critical severity status enabling an unauthenticated adversary to execute malicious code on the system. 

이 문제는 Apache Santuario 라이브러리에서 발생하며, 이는 XML 보안 표준을 구현하는 데 사용됩니다. 특히, 이 결함은 SAML Single sign-on이 현재 활성화되어 있거나 관련 제품 내에서 활성화된 경우에만 활용 가능합니다. 공격자는 유효하지 않은 서명으로 악성 SAML 요청을 작성하여 익스플로잇을 유발해야 합니다. 또한, 위협 행위자는 시스템에 대한 완전한 제어권을 얻고, 자격 증명을 덤프하며 환경을 가로질러 횡적으로 이동할 수 있습니다.

2023년 1월 19일, Horizon.ai는 이에 대한 심층 기술 개요를 발표했습니다 CVE-2022-47966의 PoC 익스플로잇과 함께. 동시에 Rapid7 연구원들은 보고했습니다 최소 1월 17일부터 관찰된 여러 관련 손상을. 이는 공격자가 버그를 익스플로잇하여 Microsoft Defender Antivirus 보호를 비활성화하고 추가 원격 액세스 도구를 배포할 수 있었음을 의미합니다.

야생에서의 exploitations 수가 증가함에 따라, 조직은 패치되지 않은 시스템을 검토하고 Zoho ManageEngine 제품의 안전한 버전으로 즉시 업그레이드하도록 촉구받고 있습니다. ManageEngine의 보안 자문은 여기서 찾을 수 있습니다..

치명적인 CVE-2022-47966 버그는 Zoho ManageEngine 제품에서 지난해 발견된 치명적인 취약점 목록의 상단에 추가되고 있습니다. 새로운 공격보다 앞서 나가기 위해, 보안 실무자는 집단 사이버 방어를 활용해 ManageEngine 및 다른 악명 높은 CVE에 대한 700개 이상의 Sigma 규칙을 얻을 수 있습니다. 무료로 120개 이상의 Sigma 규칙을 https://socprime.com/ 에서 또는 On Demand에서 전체 탐지 스택을 https://my.socprime.com/pricing/.