Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) a avertizat joi cu privire la atacurile cibernetice care vizează o vulnerabilitate publicată în luna iunie ce afectează mai multe produsele ale companiei Zoho – ManageEngine (ZOHO Corp. – companie ce deservește o gamă variată de clienți IT, rețele și telecomunicații).
CVE-2022-35405
Vulnerabilitatea (CVE-2022-35405) este o vulnerabilitate de tip RCE (Remote Code Execution) ce permite atactorilor să execute cod direct pe server fără a avea nevoie de niciun fel de acces pe acesta. Vulnerabilitatea a fost evaluată conform NIST cu 9.8 (Critical) și afectează direct următoarele versiuni și produse:
| Produs | Versiunile afectate | Versiunea în care a fost remediată | Data remedierii |
|---|---|---|---|
| Access Manager Plus | 4302 sau anterioare | 4303 | 24-06-2022 |
| Password Manager Pro | 12100 sau anterioare | 12101 | 24-06-2022 |
| PAM360 | 5500 sau anterioare | 5510 | 23-06-2022 |
ManageEngine (Zoho) a remediat vulnerabilitatea și a publicat actualizări încă din luna iulie 2022, aceștia au rulat inclusiv campanii prin email de atenționare către toți clienții lor.
Agenția de securitate cibernetică din SUA a îndemnat, cu fermitate, toate organizațiile din sectorul privat și public din întreaga lume să acorde prioritate acestei vulnerabilități și să actualizeze de urgență aplicațiile.
Vulnerabilitate din iunie exploatată pe larg în luna septembrie (2022)
Deși vulnerabilitatea a fost publicată în urmă cu câteva luni, la sfârșitul lunii septembrie atacurile s-au intensificat serios, au aparut exploit-uri și instrumente automate ce nu mai necesită aproape deloc cunoștințe tehnice pentru a exploata această vulnerabilitate (Metasploit).
Ținând cont de ușurința de exploatare a acesteia, accesibilitatea ei inclusiv către grupări de hackeri amatori și de faptul că poate compromite complet un server, estimăm ca frecvența scanărilor și atacurilor bazate pe această vulnerabilitate să crească semnificativ și în luna octombrie.
Dacă știi că utlizezi produsele mai sus menționate verifică de urgență ultimele actualizări – mai bine mai târziu decât niciodată!
Zoho - Manage Engine
În ultimii ani, serverele și produsele/aplicațiile Zoho – ManageEngine au fost constant în vizorul grupărilor de hackeri datorită faptului că suita de aplicații ManageEngine se ocupă exclusiv cu managementul infrastructurii, stațiilor de lucru, actualizări, politici interne etc. Iar odată compromis sistemul, atacatorii au acces complet la infrastructura companiei.
Încă din 2020 instanțe de Desktop Central (componentă ManageEngine) și accesul la rețelele interne ale diferitor companii au fost vândute pe forumuri de hacking, fiind o afacere profitabilă pentru atacatori.
O mare parte dintre atacurile ce au compromis aceste instanțe au fost coordonate de gruparea de hackeri APT27 (EMISSARY PANDA), presupus actor statal al Chinei (grupare de hackeri susținută, coordonată și finanțată de statul Chinez).
