1 月 17 日消息，來自 Horizon3 Attack Team 的網(wǎng)絡(luò)安全研究人員公布了一個概念驗證 (PoC) 漏洞，這一漏洞存在于諸多VMware 產(chǎn)品中。

據(jù)介紹，CVE-2022-47966 漏洞可允許攻擊者無需身份驗證即可在 ManageEngine 服務(wù)器中遠(yuǎn)程執(zhí)行代碼，而這些服務(wù)器在之前的某個時間點啟用了基于 saml 的單點登錄(SSO)協(xié)議，因此關(guān)閉該功能也無法解決任何問題。

研究人員指出，易受攻擊的端點使用了一種名為 Apache Santuario 的過時第三方依賴項，就是這個原因?qū)е鹿粽呖梢酝ㄟ^ NT AUTHORITY\SYSTEM 身份遠(yuǎn)程執(zhí)行代碼，從而完全控制系統(tǒng)。

目前來看，這個漏洞很容易被利用，并且是攻擊者在網(wǎng)上“'spray and pray”的有利方式。研究人員警告說，該漏洞允許作為 NT AUTHORITY\SYSTEM 遠(yuǎn)程執(zhí)行代碼，基本上可以使攻擊者完全控制該系統(tǒng)”。

“如果用戶確定他們的信息被泄露了，就需要進(jìn)行額外的調(diào)查，以確定攻擊者所造成的損害。一旦攻擊者獲取到對端點的系統(tǒng)級訪問權(quán)限，攻擊者就可能開始通過 LSASS 轉(zhuǎn)儲憑據(jù)或者利用現(xiàn)有的公共工具來訪問存儲的應(yīng)用程序憑據(jù)，以進(jìn)行橫向轉(zhuǎn)移。”

IT之家提醒，目前Zoho 已經(jīng)發(fā)布了相應(yīng)的補(bǔ)丁，有需要的用戶請盡快下載。

值得一提的是，研究人員通過 Shodan 搜索未打補(bǔ)丁的端點后依然發(fā)現(xiàn)了“數(shù)千個”易受攻擊的 ManageEngine 產(chǎn)品、ServiceDesk Plus 和 Endpoint Central 實例，希望大家提高警惕。

目前，業(yè)內(nèi)還沒有關(guān)于 CVE-2022-47966 被惡意利用的報告，但如果 IT 管理員選擇無視這一漏洞，則早晚會出現(xiàn)受害者。

關(guān)鍵詞：