Уязвимость в продуктах ManageEngine угрожает казахстанским компаниям
В KZ-CERT дали рекомендации по предотвращению угрозы ИБ.
В ходе мониторинга казахстанского сегмента интернета Национальной службой реагирования на компьютерные инциденты KZ-CERT обнаружены IP-адреса, потенциально подверженные критической уязвимости программных продуктов ManageEngine с идентификатором CVE-2022-47966.
Продукты ManageEngine широко используются в корпоративных организациях и выполняют такие бизнес-функции, как аутентификация, авторизация и управление идентификацией. Учитывая характер этих продуктов, критическая уязвимость представляет большой риск для организаций, потенциально позволяя злоумышленникам получить первоначальный доступ, если продукты имеют доступ в интернет, и возможность горизонтального перемещения с использованием высокопривилегированных учетных данных со следующими рисками информационной безопасности:
— кража конфиденциальных данных или ведение шпионской деятельности, например, сбор конфиденциальной информации;
— использование удаленного выполнения кода для получения несанкционированного доступа к системе или установки вредоносного программного обеспечения;
— нарушение штатной работы бизнес-процессов, например, простой, потеря производительности и репутационный риск.
В результате проверки IP-адресов, подключенных к ЕШДИ, не обнаружено.
Во избежание возможных рисков и угроз информационной безопасности владельцам обнаруженных IP-адресов направлены уведомления с рекомендациями:
— Незамедлительно применить официальные обновления и рекомендации от доверенного источника https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html.
— Проверить журналы приложений на наличие признаков попыток эксплуатации C:\Program Files\ManageEngine\ServiceDesk\logs. Файлы журналов обычно имеют имя вида serverout<N> (где N — некоторые числа). Например, serverout0, serverout1 и так далее. Точное название и расположение файлов журнала может отличаться в разных продуктах. Чтобы найти признаки компрометации, найдите трассировку стека, подобную следующей: [09:37:00:053]|[02.01.2023]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|
Напомним, что 10 января 2023 года компания Zoho ManageEngine выпустила рекомендации по безопасности для уязвимости с идентификатором CVE-2022-47966, обнаруженной исследователем Khoadha из Viettel Cyber Security. Исправления уязвимости были выпущены несколько раз, начиная с 27 октября 2022 года.