Mã khai thác cho lỗ hổng trong Zoho ManageEngine sắp được phát hành: Cần cập nhật bản vá ngay
13/03/2023 09:13 AM
Hiện tại bài viết chưa được cập nhật nội dung Âm thanh. Xin cảm ơn.
Người dùng Zoho ManageEngine đang được khuyến nghị nhanh chóng vá một lỗ hổng bảo mật nghiêm trọng trước khi mã khai thác (PoC) cho lỗ hổng được phát hành.
Lỗ hổng có định danh CVE-2022-47966, cho phép thực thi mã từ xa mà không cần xác thực, ảnh hưởng đến một số sản phẩm đang sử dụng thư viện (dependency) của bên thứ ba đã lỗi thời, Apache Santuario.
Trong một tư vấn bảo mật được đưa ra vào cuối năm ngoái, Zoho đã cảnh báo rằng: "Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý", ảnh hưởng đến tất cả các sản phẩm ManageEngine đã kích hoạt tính năng đăng nhập một lần (SSO) SAML.
Horizon3.ai đã phát hành các chỉ số xâm phạm (IOC) liên quan đến lỗ hổng, cho biết rằng họ có thể chứng minh thành công việc khai thác đối với các sản phẩm ManageEngine ServiceDesk Plus và ManageEngine Endpoint Central.
Nhà nghiên cứu James Horseman cho biết: “Lỗ hổng này rất dễ khai thác và là mục tiêu tiềm năng để những kẻ tấn công khai thác trên internet. "Nó cho phép thực thi mã từ xa dưới dạng NT AUTHORITY\SYSTEM, về cơ bản giúp kẻ tấn công kiểm soát hoàn toàn hệ thống".
Công ty cho biết, kẻ tấn công sở hữu các đặc quyền nâng cao như vậy có thể lạm dụng lỗ hổng để đánh cắp thông tin đăng nhập để mở rộng phạm vi tấn công, đồng thời cho biết thêm rằng kẻ tấn công cần gửi một request SAML độc hại để kích hoạt khai thác.
Đáng chú ý, Horizon3.ai cho biết thực tế có hơn 1.000 trường hợp các sản phẩm ManageEngine có kết nối internet đã kích hoạt SAML, có khả năng trở thành mục tiêu bị tấn công.
Không có gì lạ khi tin tặc tìm cách khai thác một lỗ hổng lớn trong các chiến dịch độc hại của chúng. Do đó, điều cần thiết là các bản vá lỗi phải được cài đặt càng sớm càng tốt bất kể cấu hình SAML.
Trung tâm CNTT - The Hacker News
Video: BHXH Việt Nam tổ chức Hội nghị giao ban ...
BHXH Việt Nam tăng cường hợp tác quốc tế nâng cao ...
Các ca khúc đạt giải Đặc biệt, giải A và giải B ...
Thủ tướng bổ nhiệm và bổ nhiệm lại nhân sự Hội đồng quản lý ...
Bộ Chính trị ban hành Nghị quyết về đột phá phát triển khoa ...
Phê duyệt cấp độ an toàn hệ thống thông tin “Bồi dưỡng trực ...
BHXH Việt Nam đạt kết quả vượt bậc trong chi trả chế độ ...
BHXH Việt Nam ban hành Kế hoạch Cải cách hành chính năm ...