Bitdefender ha rilevato un'ondata di attacchi che sfruttano
la vulnerabilità CVE-2022-47966 di esecuzione di codice remoto (RCE) per colpire le aziende che utilizzano ManageEngine, una popolare suite di gestione IT. Un totale di 24 prodotti potrebbero potenzialmente essere portatori della vulnerabilità.
Poco dopo la pubblicazione di un Proof-of-Concept (PoC),
Bitdefender ha iniziato a osservare gli attacchi diffusi e mirati a livello globale con l'obiettivo principale di distribuire strumenti come
Netcat.exe, Colbalt Strike Beacon, Buhti ransomware, ecc. per il primo accesso, lo spionaggio e la distribuzione di malware.
Questi nuovi attacchi sono il risultato di un netto aumento, documentato dagli analisti di Bitdefender negli ultimi due mesi, di criminali informatici che utilizzano vulnerabilità + POC per colpire il maggior numero possibile di aziende utilizzando l'automazione e le proprie competenze per attaccare.
I principali risultati:
A partire dal 20 gennaio (un giorno dopo la pubblicazione del PoC) i laboratori Bitdefender hanno iniziato a notare un netto aumento degli attacchi a livello globale che hanno come obiettivo una vulnerabilità nota di ManageEngine, una popolare suite di gestione IT per le aziende.
La vulnerabilità è un RCE che permette di prendere il controllo completo del sistema compromesso - l'obiettivo principale degli attacchi è l’installazione di strumenti per lo spionaggio e il rilascio di payload dannosi.
Sulla base delle analisi di Bitdefender di 2.000 – 4.000 server accessibili da Internet è in esecuzione una delle versioni vulnerabili (non tutti i server sono sfruttabili con il codice PoC corrente perché è necessario configurare SAML).
L’elenco dei 24 prodotti ManageEngine potenzialmente vulnerabili è disponibile qui:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
Bitdefender esorta tutte le aziende che utilizzano versioni vulnerabili dei prodotti ManageEngine a implementare immediatamente la patch. La gestione delle patch è essenziale per proteggere tutte le applicazioni/servizi esposti a Internet. Le aziende devono impiegare una sicurezza multilivello che incorpori le capacità di prevenzione, rilevamento e risposta alle minacce. È opportuno inoltre assicurarsi che XDR, EDR e altre difese perimetrali siano aggiornate per rilevare la vulnerabilità CVE-2022-47966 e prendere in considerazione l'impiego di uno strumento ad hoc per la ricerca di attività sospette.