专家警告称:针对CVE-2022-47966漏洞的攻击明显增加

据Bitdefender Labs报道,多个黑客组织正在积极利用Zoho ManageEngine CVE-2022-47966(CVSS 评分:9.8)。

“从 2023 年 1 月 20 日开始,Bitdefender Labs开始注意到使用 ManageEngine 漏洞CVE-2022-47966的攻击在全球范围内有所增加。”

CVE-2022-47966漏洞是一个远程执行代码漏洞,它会影响多个在ManageEngine设置中启用或曾经启用了SAML SSO的Zoh 产品。

问题的根本原因是ManageEngine产品使用了过时的第三方依赖Apache Santuario。

该问题影响了数十种产品,包括 Access Manager Plus、ADManager Plus、Password Manager Pro、Remote Access Plus 和 Remote Monitoring and Management (RMM)。

1 月中旬,Horizo​​n3 研究人员上周发布了针对 CVE-2022-47966的PoC以及技术分析。

专家们报告说,威胁行为者将目标锁定在世界各地各行各业的受害者身上。大多数攻击针对澳大利亚、加拿大、意大利、墨西哥、荷兰、尼日利亚、乌克兰、英国和美国的实体

管理引擎

专家的分析显示,有2,000到4,000台服务器可以通过互联网访问。

研究人员分析的攻击旨在在目标系统上部署Netcat、Cobalt Strike beacon、RAT-el等开源渗透工具。攻击者使用 certutil.exe、bitsadmin.exe、powershell.exe或curl.exe等内置工具来植入恶意软件。

在专家观察到的一次攻击中,威胁行为者试图安装AnyDesk软件并试图用Buhti Ransomware感染网络。

其中一个攻击集群脱颖而出,因为它与有针对性的间谍活动有关。

报告总结道:“该漏洞再次明确提醒我们,使用最新的安全补丁使系统保持最新状态并同时采用强大的安全防御措施的重要性。” “当攻击者知道许多组织容易受到旧漏洞攻击的部分原因是缺乏适当的补丁管理和风险管理时,他们不需要搜索新漏洞或新技术。”

POC地址:https://github.com/horizon3ai/CVE-2022-47966

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4388.html

标签