Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda istismar edilen hata kataloğuna birden fazla Zoho ManageEngine ürününü etkileyen kritik önemde bir Java seri kaldırma güvenlik açığı ekledi.
Bu güvenlik açığından (CVE-2022-35405), yama uygulanmamış Zoho ManageEngine PAM360 ve Password Manager Pro (kimlik doğrulama olmadan) veya Access Manager Plus (ile kimlik doğrulama) yazılımı.
Kavram kanıtı (PoC) istismar kodu ve bir Metasploit modülü (SYSTEM kullanıcısı olarak RCE kazanmak için bu hatayı hedefleyen) Ağustos ayından beri çevrimiçi olarak mevcuttur.
ManageEngine “Yukarıdaki güvenlik açığından yararlanma POC’si herkese açıktır” uyardı müşteriler, bu sorunu çözmek için güvenlik yamaları yayınladığı Temmuz ayında.
“Müşterilerimize Password Manager Pro, PAM360 ve Access Manager Plus örneklerini hemen yükseltmelerini şiddetle tavsiye ediyoruz.”
CISA’lara eklendikten sonra Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna göre, tüm Federal Sivil İdari Şube Ajansları (FCEB) ajansları artık sistemlerini vahşi doğada istismar edilen bu hataya karşı yama yapmalıdır. bağlayıcı operasyonel yönerge (BOD 22-01) Kasım ayında yayınlandı.
Federal kurumların, ağlarının istismar girişimlerinden korunmasını sağlamak için 13 Ekim’e kadar üç haftası var.
Tüm kuruluşlar, bu kusuru düzeltmeye öncelik vermeye çağırdı
BOD 22-01 yalnızca ABD FCEB ajansları için geçerli olsa da, ABD siber güvenlik ajansı ayrıca dünya çapındaki özel ve kamu sektörlerinden tüm kuruluşları bu hatayı düzeltmeye öncelik vermeye şiddetle çağırdı.
Bu tavsiyeye uymak ve en kısa sürede yamaları uygulamak, saldırganların ağlarını ihlal etme girişimlerinde kullanabilecekleri saldırı yüzeyini azaltacaktır.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur.” açıkladı Perşembe günü.
Bu bağlayıcı direktif yayınlandığından beri, CISA saldırılarda kullanılan hata kataloğuna 800’den fazla güvenlik açığı ekledi ve federal kurumların bunları daha sıkı bir programda ele almasını gerektiriyor.
Tüm güvenlik uzmanları ve yöneticilerinin, güvenlik ihlali girişimlerini engellemek için CISA’nın KEV kataloğunu gözden geçirmeleri ve ortamlarındaki yama listelenmiş hataları şiddetle tavsiye ediyoruz.
Son yıllarda, Zoho ManageEngine sunucuları, örneğin, saldırıya uğrama ve erişim gibi Desktop Central örnekleriyle sürekli olarak hedef alındı. bilgisayar korsanlığı forumlarında satılan ağlarına Temmuz 2020’den itibaren.
Ağustos ve Ekim 2021 arasında ManageEngine sunucuları da ulus devlet bilgisayar korsanları tarafından saldırıya uğradı Çin bağlantılı APT27 bilgisayar korsanlığı grubunun saldırılarında kullanılanlara benzer taktikler ve araçlar kullanmak.
Bu kampanyaların ardından FBI ve CISA iki ortak tavsiye yayınladı (1, 2) sağlık, elektronik, finansal hizmetler ve BT danışmanlık endüstrileri dahil olmak üzere kritik altyapı kuruluşlarının ağlarına web kabukları bırakmak için ManageEngine kusurlarından yararlanan APT aktörlerinin uyarısı.