مرکز CISA ایالات متحده در گزارشی نسبت به بهرهجویی مهاجمان از یک ضعف امنیتی از نوع «اجرای کد از راه دور» (Remote Code Execution – به اختصار RCE)، در محصولات Zoho ManageEngine هشدار داده است.
در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده ضعف امنیتی مذکور مورد بررسی قرار گرفته است.
این آسیبپذیری «حیاتی» (Critical) دارای شناسه CVE-2022-47966 میباشد. شرکت زوهو (Zoho)، با انتشار توصیهنامه زیر، جزییات وصله را منتشر نموده و از راهبران امنیتی خواسته شده تا نسبت به بهروزرسانی محصولات آسیبپذیر اقدام کنند:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
چنانچه Single Sign On – به اختصار SSO – مبتنی بر SAML حداقل یک بار قبل از حمله برای اجرای کد دلخواه فعال شده باشد، مهاجمان احراز هویت نشده قادر خواهند بود از CVE-2022-47966 بهرهجویی کنند.
محققان امنیتی Horizon3 نیز در نشانیهای زیر به تحلیل ضعف امنیتی مذکور و نمونه کد بهرهجو (Proof-of-Concept – به اختصار PoC) پرداختند.
https://www.horizon3.ai/manageengine-cve-2022-47966-technical-deep-dive/
لازم به ذکر است مهاجمان در حملات Shell معکوس در حال بهرهجویی از ضعف امنیتی CVE-2022-47966 در نمونههای ManageEngine وصله نشده متصل به اینترنت میباشند. در جریان این حملات پس از غیرفعال نمودن ضدبدافزار اقدام به آلودهسازی دستگاه به Backdoor از طریق بکارگیری ابزارهای دسترسی از راه دور میکنند.
پلتفرم ManageEngine با توجه به کاربرد وسیع و ماهیت همهجانبه آن، هدف جذابی برای مهاجمان است.
در ماه سپتامبر نیز آسیبپذیری دیگری با درجه اهمیت «حیاتی» با شناسه CVE-2022-35405 در بسترهای مختلف Zoho ManageEngine شناسایی شد که به دنبال بهرهجویی موفق امکان اجرای کد مخرب را از راه دور فراهم میکند؛ شرکت زوهو با انتشار توصیهنامه امنیتی زیر، بهروزرسانی مربوطه را نیز ارائه داد.
https://www.manageengine.com/products/passwordmanagerpro/advisory/rce.html