(資料圖片)

1 月 17 日消息,網絡安全研究人員公布了一個概念驗證 (PoC) 漏洞,這一漏洞存在于諸多VMware 產品中。

據介紹,CVE-2022-47966 漏洞可允許攻擊者無需身份驗證即可在 ManageEngine 服務器中遠程執行代碼,而這些服務器在之前的某個時間點啟用了基于 saml 的單點登錄(SSO)協議,因此關閉該功能也無法解決任何問題。

研究人員指出,易受攻擊的端點使用了一種名為 Apache Santuario 的過時第三方依賴項,就是這個原因導致攻擊者可以通過 NT AUTHORITY\SYSTEM 身份遠程執行代碼,從而完全控制系統。

目前來看,這個漏洞很容易被利用,并且是攻擊者在網上“"spray and pray”的有利方式。研究人員警告說,該漏洞允許作為 NT AUTHORITY\SYSTEM 遠程執行代碼,基本上可以使攻擊者完全控制該系統”。

“如果用戶確定他們的信息被泄露了,就需要進行額外的調查,以確定攻擊者所造成的損害。一旦攻擊者獲取到對端點的系統級訪問權限,攻擊者就可能開始通過 LSASS 轉儲憑據或者利用現有的公共工具來訪問存儲的應用程序憑據,以進行橫向轉移?!?/p>

目前Zoho 已經發布了相應的補丁,有需要的用戶請盡快下載。

值得一提的是,研究人員通過 Shodan 搜索未打補丁的端點后依然發現了“數千個”易受攻擊的 ManageEngine 產品、ServiceDesk Plus 和 Endpoint Central 實例,希望大家提高警惕。

目前,業內還沒有關于 CVE-2022-47966 被惡意利用的報告,但如果 IT 管理員選擇無視這一漏洞,則早晚會出現受害者。

標簽: VMware,VMware虛擬機,VMware BUG漏洞,攻略,教程