Pinewood Security Bulletin – ManageEngine critical vulnerability – CVE-2022-47966
For English, see below Beschrijving Recentelijk is een kwetsbaarheid in Zoho ManageEngine-producten aan het licht gekomen, welke door het NCSC is ingeschaald als high/high. Het betreft CVE-2022-47966, een kwetsbaarheid die op afstand – en zonder authenticatie – kan worden uitgebuit voor het uitvoeren van willekeurige code. Afhankelijk van het specifieke ManageEngine product is deze kwetsbaarheid uitbuitbaar als SAML single-sign-on momenteel ingeschakeld is, of ooit ingeschakeld is geweest. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Hoewel er op dit moment nog geen melding is gemaakt van actief misbruik, hebben onderzoekers van Horizon3 aangegeven binnenkort voorbeeldcode uit te geven waarmee deze kwetsbaarheid kan worden misbruikt. Het uitbrengen van deze code vergroot de kans op – grootschalig – misbruik van deze kwetsbaarheid. Kwetsbare versies Updates voor kwetsbare producten zijn in oktober en november van 2022 uitgebracht. Producten die kwetsbaar zijn als SAML SSO momenteel is ingeschakeld: Access Manager Plus | 4307 en eerder Analytics Plus | 5140 en eerder Application Control Plus | 10.1.2220.17 en eerder Browser Security Plus | 11.1.2238.5 en eerder Device Control Plus | 10.1.2220.17 en eerder Endpoint Central | 10.1.2228.10 en eerder Endpoint Central MSP | 10.1.2228.10 en eerder Endpoint DLP | 10.1.2137.5 en eerder Key Manager Plus | 6400 en eerder OS Deployer | 1.1.2243.0 en eerder PAM 360 | 5712 en eerder Password Manager Pro | 12123 en eerder Patch Manager Plus | 10.1.2220.17 en eerder Remote Access Plus | 10.1.2228.10 en eerder Remote Monitoring and Management (RMM) | 10.1.40 en eerder Vulnerability Manager Plus | 10.1.2220.17 en eerder
Producten die kwetsbaar zijn als SAML SSO ooit is ingeschakeld: Active Directory 360 | 4309 en eerder ADAudit Plus | 7080 en eerder ADManager Plus | 7161 en eerder ADSelfService Plus | 6210 en eerder Asset Explorer | 6982 en eerder ServiceDesk Plus | 14003 en eerder ServiceDesk Plus MSP | 13000 en eerder SupportCenter Plus | 11017 tot 11025
Oplossing en workarounds Pinewood volgt het advies van ManageEngine om de kwetsbare versies bij te werken naar de meest recente, niet-kwetsbare versie. Deze staan beschreven op https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. Naast het advies op kwetsbare versies uit te faseren, adviseert Pinewood ook om kwetsbare apparaten te onderzoeken op sporen van misbruik. Detectie van mogelijk misbruik De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC’s) vrijgegeven om te kunnen onderzoeken of een compromittatie mogelijk al heeft plaatsgevonden. Hierin worden de logs van twee producten beschreven: ManageEngine ServiceDesk Plus 14003 en ManageEngine Endpoint Central 10.1.2228.10. De onderzoekers geven daarbij aan dat andere kwetsbare ManageEngine producten mogelijk dezelfde IoC-logs bevatten, maar dat hebben ze nog niet kunnen bevestigen. De logs van deze producten zijn te vinden in de “logs” folder van de installatiefolder, bijvoorbeeld C:\Program Files\ManageEngine\ServiceDesk\logs. De benoemde IoC binnen de logs is als volgt: [tijd]|[datum]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected| Een dergelijke logregel wordt veroorzaakt omdat een aanvaller een SAML request moet maken met een ongeldige signature om de kwetsbaarheid uit te buiten. Meer informatie NCSC advisory: https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023 DTC post: https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine Horizon3 IoC onderzoek: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/ ManageEngine patch-lijst: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html Vragen Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl. =====ENGLISH VERSION======== Description Recently, a vulnerability in Zoho ManageEngine products has come to light, which has been classified by the NCSC as high/high. It concerns CVE-2022-47966, a vulnerability that can be exploited remotely and without authentication to execute arbitrary code. Depending on the specific ManageEngine product, this vulnerability is exploitable if SAML single-sign-on is currently enabled or has ever been enabled. The vulnerability allows for the remote execution of arbitrary code with system privileges. In this way, a vulnerable system can be completely taken over and malicious software can be installed, such as ransomware. Although there is currently no report of active abuse, researchers from Horizon3 have indicated that they will release sample code soon that can be used to exploit this vulnerability. The release of this code increases the likelihood of large-scale abuse of this vulnerability. Vulnerable versions Updates for vulnerable products were released in October and November of 2022. Products that are vulnerable if SAML SSO is currently enabled: Access Manager Plus | 4307 and earlier Analytics Plus | 5140 and earlier Application Control Plus | 10.1.2220.17 and earlier Browser Security Plus | 11.1.2238.5 and earlier Device Control Plus | 10.1.2220.17 and earlier Endpoint Central | 10.1.2228.10 and earlier Endpoint Central MSP | 10.1.2228.10 and earlier Endpoint DLP | 10.1.2137.5 and earlier Key Manager Plus | 6400 and earlier OS Deployer | 1.1.2243.0 and earlier PAM 360 | 5712 and earlier Password Manager Pro | 12123 and earlier Patch Manager Plus | 10.1.2220.17 and earlier Remote Access Plus | 10.1.2228.10 and earlier Remote Monitoring and Management (RMM) | 10.1.40 and earlier Vulnerability Manager Plus | 10.1.2220.17 and earlier
Products that are vulnerable if SAML SSO has ever been enabled: Active Directory 360 | 4309 and earlier ADAudit Plus | 7080 and earlier ADManager Plus | 7161 and earlier ADSelfService Plus | 6210 and earlier Asset Explorer | 6982 and earlier ServiceDesk Plus | 14003 and earlier ServiceDesk Plus MSP | 13000 and earlier SupportCenter Plus | 11017 to 11025 Solutions and workarounds Pinewood is following the advice of ManageEngine to update the vulnerable versions to the latest, non-vulnerable version. These are described on https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. In addition to the advice to phase out vulnerable versions, Pinewood also advises to investigate vulnerable devices for signs of abuse. Detection of possible abuse The researchers from Horizon3 have released Indicators of Compromise (IoCs) to investigate whether a compromise may have occurred. This includes the logs of two products: ManageEngine ServiceDesk Plus 14003 and ManageEngine Endpoint Central 10.1.2228.10. The researchers indicate that other vulnerable ManageEngine products may contain the same IoC logs, but they have not yet been able to confirm this. The logs of these products can be found in the “logs” folder of the installation folder, for example C:\Program Files\ManageEngine\ServiceDesk\logs. The specified IoC within the logs is as follows: [time]|[date]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected| In order for an attacker to execute this RCE, they will need to craft a SAML request with an invalid signature hence the exception. Extra info NCSC advisory (dutch): https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023 DTC post (dutch): https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine Horizon3 IoC research: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/ ManageEngine patch list: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html Questions For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl. |