لوحظ وجود العديد من الجهات الفاعلة في التهديد ، بشكل انتهازي ، تقوم بتسليح ثغرة أمنية حرجة تم تصحيحها الآن والتي تؤثر على العديد من منتجات Zoho ManageEngine منذ 20 يناير 2023.
تم تتبعه على أنه CVE-2022-47966 (درجة CVSS: 9.8) ، يسمح خطأ تنفيذ التعليمات البرمجية عن بُعد بالاستيلاء الكامل على الأنظمة الحساسة بواسطة مهاجمين غير مصادقين.
يتأثر بالمشكلة ما يصل إلى 24 منتجًا مختلفًا ، بما في ذلك Access Manager Plus و ADManager Plus و ADSelfService Plus و Password Manager Pro و Remote Access Plus والمراقبة عن بُعد والإدارة (RMM).
قال مارتن Zugec من Bitdefender في استشارة تقنية تمت مشاركتها مع The Hacker News إن العيب "يسمح بتنفيذ التعليمات البرمجية عن بُعد غير المصدق بسبب استخدام تبعية قديمة لجهة خارجية للتحقق من صحة توقيع XML".
وفقًا لشركة الأمن السيبراني الرومانية ، يُقال إن جهود الاستغلال بدأت في اليوم التالي لإصدار شركة Horizon3.ai لاختبار الاختراق إثباتًا للمفهوم (PoC) الشهر الماضي.
تقع غالبية ضحايا الهجوم في أستراليا وكندا وإيطاليا والمكسيك وهولندا ونيجيريا وأوكرانيا والمملكة المتحدة والولايات المتحدة.
يدور الهدف الرئيسي للهجمات المكتشفة حتى الآن حول نشر الأدوات على مضيفين معرضين للخطر مثل Netcat و Cobalt Strike Beacon.
استفادت بعض الاختراقات من الوصول الأولي لتثبيت برنامج AnyDesk للوصول عن بُعد ، بينما حاول البعض الآخر تثبيت إصدار Windows من سلسلة برامج الفدية المعروفة باسم Buhti .
علاوة على ذلك ، تشير الأدلة إلى إساءة استخدام خلل ManageEngine في عملية تجسس مستهدفة ، حيث يستخدمه المهاجمون كمتجه هجوم لنشر برامج ضارة قادرة على تنفيذ حمولات المرحلة التالية.
وقال Zugec "هذه الثغرة هي تذكير واضح آخر بأهمية تحديث الأنظمة مع أحدث التصحيحات الأمنية مع استخدام دفاع محيطي قوي".
"لا يحتاج المهاجمون إلى البحث عن مآثر جديدة أو تقنيات جديدة عندما يعلمون أن العديد من المؤسسات معرضة لخطر الاستغلال الأقدم ، ويرجع ذلك جزئيًا إلى الافتقار إلى إدارة التصحيح المناسبة وإدارة المخاطر."