Lỗ hổng có định danh CVE-2022-47966, cho phép thực thi mã từ xa mà không cần xác thực, ảnh hưởng đến một số sản phẩm đang sử dụng thư viện (dependency) của bên thứ ba đã lỗi thời, Apache Santuario.

Trong một tư vấn bảo mật được đưa ra vào cuối năm ngoái, Zoho đã cảnh báo rằng: "Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý", ảnh hưởng đến tất cả các sản phẩm ManageEngine đã kích hoạt tính năng đăng nhập một lần (SSO) SAML.

Horizon3.ai đã phát hành các chỉ số xâm phạm (IOC) liên quan đến lỗ hổng, cho biết rằng họ có thể chứng minh thành công việc khai thác đối với các sản phẩm ManageEngine ServiceDesk Plus và ManageEngine Endpoint Central.

Nhà nghiên cứu James Horseman cho biết: “Lỗ hổng này rất dễ khai thác và là mục tiêu tiềm năng để những kẻ tấn công khai thác trên internet. "Nó cho phép thực thi mã từ xa dưới dạng NT AUTHORITY\SYSTEM, về cơ bản giúp kẻ tấn công kiểm soát hoàn toàn hệ thống".

Công ty cho biết, kẻ tấn công sở hữu các đặc quyền nâng cao như vậy có thể lạm dụng lỗ hổng để đánh cắp thông tin đăng nhập để mở rộng phạm vi tấn công, đồng thời cho biết thêm rằng kẻ tấn công cần gửi một request SAML độc hại để kích hoạt khai thác.

Đáng chú ý, Horizon3.ai cho biết thực tế có hơn 1.000 trường hợp các sản phẩm ManageEngine có kết nối internet đã kích hoạt SAML, có khả năng trở thành mục tiêu bị tấn công.

Không có gì lạ khi tin tặc tìm cách khai thác một lỗ hổng lớn trong các chiến dịch độc hại của chúng. Do đó, điều cần thiết là các bản vá lỗi phải được cài đặt càng sớm càng tốt bất kể cấu hình SAML.