PoC-эксплойт планируют выложить в открытый доступ до конца недели.
Команда исследователей Horizon3 разработала PoC—эксплойт, направленный на критическую уязвимость в нескольких продуктах Zoho ManageEngine. В конце недели они планируют выложить его в сеть, в открытый доступ. Так, по всей видимости, белые хакеры хотят привлечь внимание разработчиков, чтобы те «залатали» дыру в безопасности как можно скорее.
Уязвимость известна под идентификатором CVE-2022-47966. Она позволяет неавторизованным злоумышленникам выполнять произвольный код на серверах ManageEngine, то есть проводить RCE-атаки.
В список уязвимых программ входят практически все продукты ManageEngine. Однако компания Zoho уже выпустила обновления для большинства из них.
Исследователи из команды Horizon3’s Attack Team уже предупредили представителей Zoho, что они создали эксплойт на основе вышеописанной уязвимости. Хотя они еще не опубликовали технические детали, а предоставили только общие индикаторы компрометации (IOC), Horizon3 планирует выпустить свой эксплойт позже на этой неделе.
Исследователи Horizon3 также поделились скриншотом, демонстрирующим их эксплойт в действии. Его работоспособность показана на примере ManageEngine ServiceDesk Plus.
Эксплойт PoC CVE-2022-47966
Джеймс Хорсман, исследователь из Horizon3, обнаружил, что примерно 10% всех доступных продуктов ManageEngine уязвимы для атак CVE-2022-47966.
Несмотря на то, что нет общедоступных сообщений об атаках с использованием этой уязвимости и попытках использовать ее в реальных условиях, по данным компании GreyNoise, заинтересованные злоумышленники, скорее всего, быстро перейдут к созданию своих собственных эксплойтов RCE, как только Horizon3 опубликует свой PoC-код.
Ранее представители Horizon3 уже публиковали эксплоиты для следующих уязвимостей:
- CVE-2022-28219 — критическая уязвимость в Zoho ManageEngine ADAudit Plus, позволяющая злоумышленникам скомпрометировать учетные записи Active Directory.
- CVE-2022-1388 — критическая ошибка, позволяющая удаленно выполнять код на сетевых устройствах F5 BIG-IP.
- CVE-2022-22972 — критическая уязвимость обхода аутентификации в нескольких продуктах VMware, позволяющая злоумышленникам получить права администратора.
Жёстко, но эффективно — после ультиматума, выдвинутого разработчикам, можно не сомневаться, что любые уязвимости будут устранены в кратчайшие сроки.
Источник: securitylab