ManageEngine ServiceDesk Plus İçin Exploit Uyarısı Yapıldı, Acil Güncelleme Yapın!

Gün geçmiyor ki, yeni bir zafiyet çıkmasın gün geçmiyor ki bir veri ihlali yaşanmasın. Aslında yaşanan ihlallere baktığımızda büyük çoğunluğunun yapılan ihmallerin neden olduğu görülmekte. Özellikle sistem yönetim altyapılarına baktığımızda unutulan yada ihmail eden güncellemelerin büyük siber saldırılara yol açtığını görmekteyiz. Bu haberimiz yine bu konu odaklı ve sistem altyapılarında çok fazla kullanılan ürünlerle ile ilgili.

Gelen haberlere göre VMware ürününde kimlik doğrulaması olmadan uzaktan kod yürütülmesine (RCE) izin veren kritik bir güvenlik açığı için PoC exploit kodu yayınlanacağı belirtiliyor. Bir diğeri CVE-2022-47966 olarak izlenen kimlik doğrulama zafiyeti RCE güvenlik açığı Apache Santuario’nun kullanılmasından kaynaklanıyor ve ManageEngine sunucularında rasgele kod yürütmesine izin veriyor. Güvenlik açığı neredeyse tüm ManageEngine ürünlerini etkiliyor. Zoho, 27 Ekim 2022 bu zafiyeti kapatmıştı ancak Horizon3’ün güvenlik araştırmacıları CVE-2022-47966 için bir kavram kanıtı (PoC) istismarı oluşturdukları konusunda uyardı.

Reproducing the recent #ManageEngine CVE-2022-47966 pre-auth RCE, which affects nearly all of their products, has definitely been eye-opening about some recent SAML research that flew under our radar. POC and blog to come.

Credit to the original researcher @_l0gg, nice find! pic.twitter.com/qpkNZYH3c6

— Horizon3 Attack Team (@Horizon3Attack) January 12, 2023

Horizon3 araştırmacıları güvenlik açığı bulunan bir ManageEngine ServiceDesk Plus üzerinde yaptıkları istismarı gösteren aşağıdaki ekran görüntüsünü paylaştı.

Araştırmacılar ManageEngine ürünlerinden yalnızca ikisi olan ServiceDesk Plus ve Endpoint Central’ı incelerken, Shodan aracılığıyla çevrimiçi olarak bulunabilen binlerce yama uygulanmamış sunucu buldu.

Güncellemelere buradan ulaşabilirsiniz.

Horizon3 daha önce aşağıdakiler için istismar kodu yayınladı:

• CVE-2022-28219 , Zoho ManageEngine ADAudit Plus’ta saldırganların Active Directory hesaplarını ele geçirmesine izin verebilecek kritik bir güvenlik açığı.
  
• F5 BIG-IP ağ cihazlarında uzaktan kod yürütülmesini sağlayan kritik bir hata olan CVE-2022-1388.
  
• CVE-2022-22972 , birden çok VMware ürününde bulunan ve saldırganların yönetici ayrıcalıkları kazanmasına olanak tanıyan kritik bir kimlik doğrulama atlama güvenlik açığı.

Kaynak: bleepingcomputer.com