Nutzer von Zoho ManageEngine werden dringend aufgefordert, ihre Instanzen gegen eine kritische Sicherheitslücke zu patchen, bevor ein Proof-of-Concept(PoC) Exploit-Code veröffentlicht wird.
Dabei handelt es sich um die Sicherheitslücke CVE-2022-47966, die aufgrund der Verwendung einer veralteten Drittanbieterabhängigkeit, Apache Santuario, eine unautorisierte Remotecodeausführung ermöglicht und mehrere Produkte betrifft.
„Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, beliebigen Code auszuführen“, warnte Zoho in einem Ende letzten Jahres veröffentlichten Advisory und wies darauf hin, dass alle ManageEngine-Konfigurationen betroffen sind, die die SAML-Single-Sign-On-Funktion (SSO) aktiviert haben oder in der Vergangenheit aktiviert hatten.
Horizon3.ai hat nun Indicators of Compromise (IOCs) veröffentlicht, die mit der Schwachstelle in Verbindung stehen, und festgestellt, dass die Schwachstelle erfolgreich für die Produkte ManageEngine ServiceDesk Plus und ManageEngine Endpoint Central reproduziert werden konnte.
„Die Schwachstelle lässt sich leicht ausnutzen und ist ein guter Kandidat für Angreifer, um sie über das Internet auszunutzen“, so James Horseman, einer der Forscher. „Diese Schwachstelle ermöglicht die Remotecodeausführung als NT AUTHORITY\SYSTEM, was einem Angreifer im Grunde die vollständige Kontrolle über das System gibt.“
Ein Angreifer, der im Besitz dieser erhöhten Rechte ist, könnte damit Anmeldedaten stehlen, um sich seitlich zu bewegen, so das Unternehmen mit Hauptsitz in San Francisco.
Horizon3.ai wies außerdem darauf hin, dass mehr als 1.000 ManageEngine-Produkte mit aktiviertem SAML im Internet verfügbar sind, was sie zu lukrativen Zielen machen könnte.
Es ist nicht ungewöhnlich, dass Hacker das Wissen um eine große Sicherheitslücke für bösartige Kampagnen ausnutzen. Deshalb ist es wichtig, dass die Fixes so schnell wie möglich installiert werden, unabhängig von der SAML-Konfiguration.