Detectar Explorações do CVE-2022-47966: Vulnerabilidade Crítica de RCE no Zoho ManageEngine Sob Exploração Ativa
Índice:
Outro dia, outra RCE crítica circulando na arena das ciberameaças. Desta vez, os profissionais de segurança são incentivados a aplicar patches o mais rápido possível contra um bug crítico de execução remota de código (CVE-2022-47966) que afeta vários produtos do Zoho ManageEngine. Desde que o exploit de prova de conceito (PoC) foi lançado publicamente na semana passada, especialistas observaram um grande aumento nos ataques em campo explorando a vulnerabilidade em destaque.
Detecção CVE-2022-47966
Os produtos ManageEngine são amplamente adotados por empresas globalmente para realizar funções de autenticação, autorização e gerenciamento de identidade. Dada a natureza deste software e em vista da enorme onda de explorações em campo, a vulnerabilidade em questão representa um risco significativo para as organizações. Para proteger proativamente sua infraestrutura contra ataques potenciais, a Plataforma Detection as Code da SOC Prime oferece um conjunto de regras Sigma que detectam a atividade maliciosa associada à exploração CVE-2022-47966.
Todas as detecções são compatíveis com mais de 25 tecnologias SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® v12, abordando as táticas de Acesso Inicial e Execução com Exploit Public-Facing Application (T1190) e Command and Scripting Interpreter (T1059) como técnicas correspondentes.
Pressione o botão Explorar Detecções para acessar instantaneamente todo o conjunto de regras Sigma para CVE-2022-47966, links CTI correspondentes, referências ATT&CK, ideias de caça a ameaças e orientações de engenharia de detecção.
Análise CVE-2022-47966
Inicialmente descoberto pelo pesquisador do Viettel Cyber Security, a vulnerabilidade foi revelada em novembro de 2022 após a Zoho anunciar patches para 24 produtos on-premises. Registrado como CVE-2022-47966, o bug recebeu um status de severidade crítica, permitindo que um adversário não autenticado execute código malicioso no sistema.
O problema decorre de uma dependência insegura de terceiros no Apache Santuario biblioteca que é utilizada para implementar padrões de segurança para XML. Notavelmente, a falha é explorável apenas se o single sign-on SAML estiver atualmente ativo ou tiver sido ativado nos produtos afetados. Os atacantes precisam criar uma solicitação SAML maliciosa com uma assinatura inválida para acionar o exploit. Além disso, o agente de ameaça é capaz de obter controle completo do sistema, descarregar credenciais e mover-se lateralmente pelo ambiente.
Em 19 de janeiro de 2023, a Horizon.ai lançou uma visão técnica detalhada do CVE-2022-47966 juntamente com o exploit PoC para o mesmo. Simultaneamente, pesquisadores da Rapid7 relataram várias violações relacionadas observadas desde pelo menos 17 de janeiro. Isso significa que os atacantes conseguiram explorar o bug mesmo antes do lançamento oficial do PoC, confiando nele para desabilitar as proteções do Microsoft Defender Antivirus e implantar ferramentas adicionais de acesso remoto.
Dado o crescente número de explorações em campo, as organizações são instadas a revisar os sistemas não corrigidos e atualizar imediatamente para versões seguras dos produtos Zoho ManageEngine. O aviso de segurança do ManageEngine pode ser encontrado aqui.
O bug crítico CVE-2022-47966 está sendo adicionado ao topo da lista de vulnerabilidades críticas descobertas em produtos Zoho ManageEngine durante o último ano. Para se antecipar aos ataques emergentes, os profissionais de segurança podem alcançar mais de 700 regras Sigma para ManageEngine e outros CVEs notórios aproveitando a defesa cibernética coletiva. Obtenha 120+ regras Sigma gratuitamente em https://socprime.com/ ou todo o conjunto de detecção sob demanda em https://my.socprime.com/pricing/.
