【安全圈】ManageEngine 曝出严重漏洞，攻击者无需身份验证即可远程运行代码

IT之家 1 月 17 日消息，来自 Horizon3 Attack Team 的网络安全研究人员公布了一个概念验证 (PoC) 漏洞，这一漏洞存在于诸多 VMware 产品中。

据介绍，CVE-2022-47966 漏洞可允许攻击者无需身份验证即可在 ManageEngine 服务器中远程执行代码，而这些服务器在之前的某个时间点启用了基于 saml 的单点登录（SSO）协议，因此关闭该功能也无法解决任何问题。

研究人员指出，易受攻击的端点使用了一种名为 Apache Santuario 的过时第三方依赖项，就是这个原因导致攻击者可以通过 NT AUTHORITYSYSTEM 身份远程执行代码，从而完全控制系统。

目前来看，这个漏洞很容易被利用，并且是攻击者在网上“'spray and pray”的有利方式。研究人员警告说，该漏洞允许作为 NT AUTHORITYSYSTEM 远程执行代码，基本上可以使攻击者完全控制该系统”。

“如果用户确定他们的信息被泄露了，就需要进行额外的调查，以确定攻击者所造成的损害。一旦攻击者获取到对端点的系统级访问权限，攻击者就可能开始通过 LSASS 转储凭据或者利用现有的公共工具来访问存储的应用程序凭据，以进行横向转移。”

IT之家提醒，目前 Zoho 已经发布了相应的补丁，有需要的用户请尽快下载。

值得一提的是，研究人员通过 Shodan 搜索未打补丁的端点后依然发现了“数千个”易受攻击的 ManageEngine 产品、ServiceDesk Plus 和 Endpoint Central 实例，希望大家提高警惕。

目前，业内还没有关于 CVE-2022-47966 被恶意利用的报告，但如果 IT 管理员选择无视这一漏洞，则早晚会出现受害者。