BUG CRÍTICO DO MANAGEENGINE RCE AGORA EXPLORADO PARA ABRIR SHELLS REVERSOS

 

Quer apoiar meu projeto de divulgação de noticias? Agora é possivel

Uma vulnerabilidade crítica de execução remota de código (RCE) que afeta vários produtos Zoho ManageEngine agora está sendo explorada em ataques.

As primeiras tentativas de exploração foram observadas pela empresa de segurança cibernética Rapid7 na terça-feira, dois dias antes de os pesquisadores de segurança da Horizon3 divulgarem o código de exploração público e uma análise técnica aprofundada da falha.

"O Rapid7 está respondendo a vários comprometimentos decorrentes da exploração de CVE-2022-47966, uma vulnerabilidade de execução remota de código (RCE) de pré-autenticação que afeta pelo menos 24 produtos ManageEngine locais", disse a empresa de detecção de ameaças.

"Rapid7 observou exploração em organizações já em 17 de janeiro de 2023 (UTC)".

Isso foi confirmado por pesquisadores da Shadowserver Foundation, que disseram estar “pegando tentativas de exploração de pelo menos 10 IPs para RCE não autenticado CVE-2022-47966 afetando vários produtos Zoho ManageEngine (com SAML SSO ativado)”.

Suas descobertas também foram confirmadas pela empresa de inteligência de ameaças GreyNoise, que começou a rastrear as tentativas de exploração CVE-2022-47966 na semana passada, em 12 de janeiro.

GreyNoise detectou 11 endereços IP direcionados a instâncias ManageEngine expostas à Internet vulneráveis ​​a ataques CVE-2022-47966.

Pelo menos um desses IPs (ou seja, 221.226.159.22), atribuído a um servidor Linux no Backbone da China Telecom, tentou anteriormente comprometer servidores não corrigidos contra a vulnerabilidade Log4shell.

IPs vinculados à exploração CVE-2022-47966 (GreyNoise)

Atividade pós-exploração em dispositivos comprometidos

Ao investigar ataques que levaram ao comprometimento de algumas das instâncias ManageEngine de seus clientes, a Rapid7 também observou atividade pós-exploração.

A empresa diz que os invasores estão usando scripts do PowerShell para desativar a proteção em tempo real do Microsoft Defender e adicionar a pasta C:\Users\Public às listas de exclusão do Defender.

Os agentes de ameaças também implantam cargas úteis adicionais, incluindo ferramentas de acesso remoto camufladas como o serviço Windows Service Host.

Uma dessas ferramentas, uma ferramenta de encapsulamento de protocolo Golang chamada Chisel, semelhante à ferramenta de conexão de linha de comando Plink (PuTTY Link), está sendo usada para criar um túnel ssh reverso (provavelmente para abrir um shell remoto para contornar firewalls).

Em uma tentativa de exploração vista pelo ShadowServer e compartilhada com o BleepingComputer, os invasores usaram o curl para baixar um arquivo de um servidor remoto (106.246.224[.]219/hlmllmo) e executá-lo.

Infelizmente, este arquivo não existe mais no servidor, então não há informações sobre seu comportamento malicioso.

No entanto, o endereço IP tem um histórico de distribuição de backdoors do Linux em dispositivos comprometidos usando vulnerabilidades do VMware e a falha Log4Shell.

Script usado para implantar cargas adicionais em ataques anteriores (BleepingComputer)

"As organizações que usam qualquer um dos produtos afetados listados no comunicado da ManageEngine devem atualizar imediatamente e revisar os sistemas não corrigidos em busca de sinais de comprometimento, pois o código de exploração está disponível publicamente e a exploração já começou", alertou Rapid7.

A Horizon encontrou mais de 8.300 instâncias ServiceDesk Plus e Endpoint Central expostas à Internet e alertou sobre ataques "spray and pray" depois de estimar que aproximadamente 10% das instâncias expostas também são vulneráveis ​​a ataques.

A CISA e o FBI já emitiram alertas conjuntos (1, 2) para alertar sobre ameaças apoiadas pelo estado que exploram falhas do ManageEngine para lançar shells da web nas redes de organizações de vários setores críticos de infraestrutura, incluindo saúde e serviços financeiros.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/critical-manageengine-rce-bug-now-exploited-to-open-reverse-shells/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #bug #crítico #do #manageengine #rce #agora #explorado #para #abrir #shells #reversos