ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码
CTOnews.com 1 月 17 日消息,来自 Horizon3 Attack Team 的网络安全研究人员公布了一个概念验证 (PoC) 漏洞,这一漏洞存在于诸多 VMware 产品中。
据介绍,CVE-2022-47966 漏洞可允许攻击者无需身份验证即可在 ManageEngine 服务器中远程执行代码,而这些服务器在之前的某个时间点启用了基于 saml 的单点登录(SSO)协议,因此关闭该功能也无法解决任何问题。
研究人员指出,易受攻击的端点使用了一种名为 Apache Santuario 的过时第三方依赖项,就是这个原因导致攻击者可以通过 NT AUTHORITY\SYSTEM 身份远程执行代码,从而完全控制系统。
目前来看,这个漏洞很容易被利用,并且是攻击者在网上"'spray and pray"的有利方式。研究人员警告说,该漏洞允许作为 NT AUTHORITY\SYSTEM 远程执行代码,基本上可以使攻击者完全控制该系统"。
"如果用户确定他们的信息被泄露了,就需要进行额外的调查,以确定攻击者所造成的损害。一旦攻击者获取到对端点的系统级访问权限,攻击者就可能开始通过 LSASS 转储凭据或者利用现有的公共工具来访问存储的应用程序凭据,以进行横向转移。"
CTOnews.com提醒,目前 Zoho 已经发布了相应的补丁,有需要的用户请尽快下载。
值得一提的是,研究人员通过 Shodan 搜索未打补丁的端点后依然发现了"数千个"易受攻击的 ManageEngine 产品、ServiceDesk Plus 和 Endpoint Central 实例,希望大家提高警惕。
目前,业内还没有关于 CVE-2022-47966 被恶意利用的报告,但如果 IT 管理员选择无视这一漏洞,则早晚会出现受害者。
相关文章
- 25 周年纪念作,情怀拉满但诚意欠缺:《勇者斗恶龙 怪物仙境 3》
- 联想拯救者 Y700 2023 平板推送 ZUI 15.0.723 系统灰度测试:新增“USB 网络共享”,优化底部小白条
- Streacom 推出 SG10 高端被动散热机箱:可解热 600W,1300 美元
- 3D 角色扮演策略游戏《少女前线 2:追放》公测开启,安卓、iOS、PC 多端互通
- 新能源车市:价格战开局,价值战结束
- 雪天这样拍,照片更为味道
- Cybertruck:未来物种重新定义汽车
- 2022 年我国未成年网民规模突破 1.93 亿,普及率达 97.2%
- 上映 7 天,《名侦探柯南:黑铁的鱼影》内地票房破亿、豆瓣 6.6 分
- 小岛工作室推出《死亡搁浅》联名手机手柄,预计明年发售