Pinewood Security Bulletin – ManageEngine critical vulnerability – CVE-2022-47966
For English, see below
Beschrijving
Recentelijk is een kwetsbaarheid in Zoho ManageEngine-producten aan het licht gekomen, welke door het NCSC is ingeschaald als high/high. Het betreft CVE-2022-47966, een kwetsbaarheid die op afstand – en zonder authenticatie – kan worden uitgebuit voor het uitvoeren van willekeurige code. Afhankelijk van het specifieke ManageEngine product is deze kwetsbaarheid uitbuitbaar als SAML single-sign-on momenteel ingeschakeld is, of ooit ingeschakeld is geweest. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Hoewel er op dit moment nog geen melding is gemaakt van actief misbruik, hebben onderzoekers van Horizon3 aangegeven binnenkort voorbeeldcode uit te geven waarmee deze kwetsbaarheid kan worden misbruikt. Het uitbrengen van deze code vergroot de kans op – grootschalig – misbruik van deze kwetsbaarheid.
Kwetsbare versies
Updates voor kwetsbare producten zijn in oktober en november van 2022 uitgebracht.
Producten die kwetsbaar zijn als SAML SSO momenteel is ingeschakeld:
Access Manager Plus | 4307 en eerder
Analytics Plus | 5140 en eerder
Application Control Plus | 10.1.2220.17 en eerder
Browser Security Plus | 11.1.2238.5 en eerder
Device Control Plus | 10.1.2220.17 en eerder
Endpoint Central | 10.1.2228.10 en eerder
Endpoint Central MSP | 10.1.2228.10 en eerder
Endpoint DLP | 10.1.2137.5 en eerder
Key Manager Plus | 6400 en eerder
OS Deployer | 1.1.2243.0 en eerder
PAM 360 | 5712 en eerder
Password Manager Pro | 12123 en eerder
Patch Manager Plus | 10.1.2220.17 en eerder
Remote Access Plus | 10.1.2228.10 en eerder
Remote Monitoring and Management (RMM) | 10.1.40 en eerder
Vulnerability Manager Plus | 10.1.2220.17 en eerder
Producten die kwetsbaar zijn als SAML SSO ooit is ingeschakeld:
Active Directory 360 | 4309 en eerder
ADAudit Plus | 7080 en eerder
ADManager Plus | 7161 en eerder
ADSelfService Plus | 6210 en eerder
Asset Explorer | 6982 en eerder
ServiceDesk Plus | 14003 en eerder
ServiceDesk Plus MSP | 13000 en eerder
SupportCenter Plus | 11017 tot 11025
Oplossing en workarounds
Pinewood volgt het advies van ManageEngine om de kwetsbare versies bij te werken naar de meest recente, niet-kwetsbare versie. Deze staan beschreven op https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. Naast het advies op kwetsbare versies uit te faseren, adviseert Pinewood ook om kwetsbare apparaten te onderzoeken op sporen van misbruik.
Detectie van mogelijk misbruik
De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC’s) vrijgegeven om te kunnen onderzoeken of een compromittatie mogelijk al heeft plaatsgevonden. Hierin worden de logs van twee producten beschreven: ManageEngine ServiceDesk Plus 14003 en ManageEngine Endpoint Central 10.1.2228.10. De onderzoekers geven daarbij aan dat andere kwetsbare ManageEngine producten mogelijk dezelfde IoC-logs bevatten, maar dat hebben ze nog niet kunnen bevestigen. De logs van deze producten zijn te vinden in de “logs” folder van de installatiefolder, bijvoorbeeld C:\Program Files\ManageEngine\ServiceDesk\logs.
De benoemde IoC binnen de logs is als volgt:
[tijd]|[datum]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|
Een dergelijke logregel wordt veroorzaakt omdat een aanvaller een SAML request moet maken met een ongeldige signature om de kwetsbaarheid uit te buiten.
Meer informatie
NCSC advisory: https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023
DTC post: https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine
Horizon3 IoC onderzoek: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/
ManageEngine patch-lijst: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
Vragen
Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION========
Description
Recently, a vulnerability in Zoho ManageEngine products has come to light, which has been classified by the NCSC as high/high. It concerns CVE-2022-47966, a vulnerability that can be exploited remotely and without authentication to execute arbitrary code. Depending on the specific ManageEngine product, this vulnerability is exploitable if SAML single-sign-on is currently enabled or has ever been enabled. The vulnerability allows for the remote execution of arbitrary code with system privileges. In this way, a vulnerable system can be completely taken over and malicious software can be installed, such as ransomware. Although there is currently no report of active abuse, researchers from Horizon3 have indicated that they will release sample code soon that can be used to exploit this vulnerability. The release of this code increases the likelihood of large-scale abuse of this vulnerability.
Vulnerable versions
Updates for vulnerable products were released in October and November of 2022.
Products that are vulnerable if SAML SSO is currently enabled:
Access Manager Plus | 4307 and earlier
Analytics Plus | 5140 and earlier
Application Control Plus | 10.1.2220.17 and earlier
Browser Security Plus | 11.1.2238.5 and earlier
Device Control Plus | 10.1.2220.17 and earlier
Endpoint Central | 10.1.2228.10 and earlier
Endpoint Central MSP | 10.1.2228.10 and earlier
Endpoint DLP | 10.1.2137.5 and earlier
Key Manager Plus | 6400 and earlier
OS Deployer | 1.1.2243.0 and earlier
PAM 360 | 5712 and earlier
Password Manager Pro | 12123 and earlier
Patch Manager Plus | 10.1.2220.17 and earlier
Remote Access Plus | 10.1.2228.10 and earlier
Remote Monitoring and Management (RMM) | 10.1.40 and earlier
Vulnerability Manager Plus | 10.1.2220.17 and earlier
Products that are vulnerable if SAML SSO has ever been enabled:
Active Directory 360 | 4309 and earlier
ADAudit Plus | 7080 and earlier
ADManager Plus | 7161 and earlier
ADSelfService Plus | 6210 and earlier
Asset Explorer | 6982 and earlier
ServiceDesk Plus | 14003 and earlier
ServiceDesk Plus MSP | 13000 and earlier
SupportCenter Plus | 11017 to 11025
Solutions and workarounds
Pinewood is following the advice of ManageEngine to update the vulnerable versions to the latest, non-vulnerable version. These are described on https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. In addition to the advice to phase out vulnerable versions, Pinewood also advises to investigate vulnerable devices for signs of abuse.
Detection of possible abuse
The researchers from Horizon3 have released Indicators of Compromise (IoCs) to investigate whether a compromise may have occurred. This includes the logs of two products: ManageEngine ServiceDesk Plus 14003 and ManageEngine Endpoint Central 10.1.2228.10. The researchers indicate that other vulnerable ManageEngine products may contain the same IoC logs, but they have not yet been able to confirm this. The logs of these products can be found in the “logs” folder of the installation folder, for example C:\Program Files\ManageEngine\ServiceDesk\logs.
The specified IoC within the logs is as follows:
[time]|[date]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|
In order for an attacker to execute this RCE, they will need to craft a SAML request with an invalid signature hence the exception.
Extra info
NCSC advisory (dutch): https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023
DTC post (dutch): https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine
Horizon3 IoC research: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/
ManageEngine patch list: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
Questions
For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl. |