Растут атаки с использованием исправленной уязвимости в Zoho ManageEngine

Специалисты ИБ-компании Bitdefender обнаружили , что с 20 января 2023 года несколько субъектов угроз эксплуатируют исправленную критическую уязвимость в продуктах Zoho ManageEngine.

RCE-уязвимость CVE-2022-47966 (оценка CVSS: 9.8) позволяет злоумышленнику, не прошедшему проверку подлинности, полностью захватить уязвимые системы.

Эта проблема затрагивает 24 различных продукта, включая:

• Access Manager Plus;
• ADManager Plus;
• ADSelfService Plus;
• Password Manager Pro;
• Remote Access Plus;
• Remote Monitoring and Management (RMM).

По данным Bitdefender, использование ошибки началось на следующий день после того, как в январе пентестеры из компании Horizon3.ai выпустили POC-эксплойт для этой уязвимости. Тогда они пригрозили Zoho выложить его в сеть, вынудив фирму как можно скорее исправить недостаток.

Большинство жертв атак находятся в Австралии, Канаде, Италии, Мексике, Нидерландах, Нигерии, Украине, Великобритании и США. Основная цель атак связана с развертыванием Netcat и Cobalt Strike Beacon.

В некоторых взломах хакеры использовали первоначальный доступ для установки AnyDesk, а другие устанавливали версию программы-вымогателя для Windows под названием Buhti, написанной на Golang и впервые обнаруженной Palo Alto Unit 42.

Более того, уязвимость ManageEngine эксплуатировалась в целенаправленной шпионской кампании в качестве вектора атаки для развертывания вредоносного ПО, способного выполнять полезную нагрузку следующего этапа.

Эксперты Bitdefender заявили, что эта уязвимость является еще одним четким напоминанием о важности своевременного обновления систем, а также использования надежной защиты периметра. Злоумышленникам не нужно искать новые эксплойты или новые методы, когда они знают, что многие организации уязвимы для старых эксплойтов, отчасти из-за отсутствия надлежащего управления исправлениями и управления рисками.