Horizon3攻擊團(tuán)隊(duì)的網(wǎng)絡(luò)安全研究人員發(fā)布了一個(gè)概念驗(yàn)證漏洞，該漏洞存在于許多VMware產(chǎn)品中。

據(jù)報(bào)道，CVE—2022—47966漏洞可以允許攻擊者在未經(jīng)身份驗(yàn)證的情況下遠(yuǎn)程執(zhí)行ManageEngine服務(wù)器中的代碼，而這些服務(wù)器在之前的某個(gè)時(shí)間點(diǎn)啟用了基于saml的單點(diǎn)登錄協(xié)議，因此關(guān)閉該功能并不能解決任何問題。

研究人員指出，易受攻擊的端點(diǎn)使用一種名為Apache Santuario的過時(shí)的第三方依賴，這就是攻擊者可以通過NT AUTHORITYSYSTEM identity遠(yuǎn)程執(zhí)行代碼，從而完全控制系統(tǒng)的原因。

目前這個(gè)漏洞很容易被利用，是攻擊者在網(wǎng)上噴練的有利途徑研究人員警告說，該漏洞允許以NT AUTHORITYSYSTEM的身份遠(yuǎn)程執(zhí)行代碼，這基本上讓攻擊者完全控制了系統(tǒng)

如果用戶確定他們的信息已經(jīng)泄露，他們需要進(jìn)行額外的調(diào)查，以確定攻擊者造成的損失一旦攻擊者獲得對(duì)端點(diǎn)的系統(tǒng)級(jí)訪問權(quán)限，攻擊者就可能開始通過LSASS轉(zhuǎn)儲(chǔ)憑據(jù)，或者使用現(xiàn)有的公共工具來訪問存儲(chǔ)的應(yīng)用程序憑據(jù)以進(jìn)行水平傳輸

本站提醒，Zoho已經(jīng)發(fā)布了相應(yīng)的補(bǔ)丁，需要的用戶盡快下載。

值得一提的是，在通過Shodan搜索未打補(bǔ)丁的端點(diǎn)后，研究人員仍然發(fā)現(xiàn)了ManageEngine產(chǎn)品，ServiceDesk Plus和Endpoint Central的數(shù)千個(gè)易受攻擊的例子希望你提高警惕

目前業(yè)內(nèi)還沒有關(guān)于惡意利用CVE—2022—47966的報(bào)道，但是如果IT管理員選擇忽略這個(gè)漏洞，受害者遲早會(huì)出現(xiàn)。