ManageEngine (ServiceDesk Plus) Exploit Kodu Yayınlandı Zafiyetler Aktif Olarak İstismar Edilmeye Başlandı
ManageEngine Dünya genelinde bir çok ürün çeşiti ile organizasyonlarda kullanıkta. Belkide en çok kullanılan ürünlerin başında ServiceDesk Plus ve Desktop Central gelmekte. Geçenlerde haberini yaptığımız ve Horizon3’ün güvenlik araştırmacılarının CVE-2022-47966 için bir kavram kanıtı (PoC) istismarı oluşturdukları konusunda uyarılar yayınlanmıştı. Yeni gelen haberler artık zafiyetin genel olarak istismar edildiği yönünde.
İlk istismar girişimleri, Horizon3 araştırmacıların zafiyet detaylarını paylaşmasından iki gün önce siber güvenlik firması Rapid7 tarafından gözlemlendi. Rapid7, “En az 24 şirkette kullanılan ManageEngine ürününü etkileyen kimlik doğrulama uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2022-47966’nın kötüye kullanılmasından kaynaklanan çeşitli güvenlik ihlalleri ile karşılaştık.” dedi.
Rapid7, saldırganların Microsoft Defender realtime korumasını devre dışı bırakmak ve C:\Users\Public klasörünü Defender’ın hariç tutma listelerine eklemek için PowerShell scriptlerini kullandığını tespit ettiğini belirledi. Saldırganlar bu işlemin ardından payload yüklemek için Plink (PuTTY Link) aracına benzeyen Chisel’i revers ssh oluşturmak için kullanıyor. ( muhtemelen güvenlik duvarlarını atlamak için remote shell kullanıyorlar ). Bununla birlikte, VMware güvenlik açıklarını ve Log4Shell zafiyetini kullanan Linux backdoor dağıtma gibi girişimlerde gözleniyor. Son olarak Horizon, internet’e açık 8.300’den fazla ServiceDesk Plus ve Endpoint Central cloud tabanlı sunucusu buldu ve bunlardan %10’unun da saldırılara karşı savunmasız olduğunu tahmin ettiktlerini belirtti.
Kaynak: bleepingcomputer.com