Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – ManageEngine critical vulnerability

Pinewood Security Bulletin – ManageEngine critical vulnerability – CVE-2022-47966

For English, see below

Beschrijving

Recentelijk is een kwetsbaarheid in Zoho ManageEngine-producten aan het licht gekomen, welke door het NCSC is ingeschaald als high/high. Het betreft CVE-2022-47966, een kwetsbaarheid die op afstand – en zonder authenticatie – kan worden uitgebuit voor het uitvoeren van willekeurige code. Afhankelijk van het specifieke ManageEngine product is deze kwetsbaarheid uitbuitbaar als SAML single-sign-on momenteel ingeschakeld is, of ooit ingeschakeld is geweest. De kwetsbaarheid maakt het mogelijk om op afstand willekeurige code uit te voeren met systeemrechten. Op deze manier kan een kwetsbaar systeem volledig worden overgenomen en kwaadaardige software worden geïnstalleerd zoals ransomware. Hoewel er op dit moment nog geen melding is gemaakt van actief misbruik, hebben onderzoekers van Horizon3 aangegeven binnenkort voorbeeldcode uit te geven waarmee deze kwetsbaarheid kan worden misbruikt. Het uitbrengen van deze code vergroot de kans op – grootschalig – misbruik van deze kwetsbaarheid.

Kwetsbare versies

Updates voor kwetsbare producten zijn in oktober en november van 2022 uitgebracht.

Producten die kwetsbaar zijn als SAML SSO momenteel is ingeschakeld:

Access Manager Plus  | 4307 en eerder

Analytics Plus | 5140 en eerder

Application Control Plus | 10.1.2220.17 en eerder

Browser Security Plus | 11.1.2238.5 en eerder

Device Control Plus | 10.1.2220.17 en eerder

Endpoint Central | 10.1.2228.10 en eerder

Endpoint Central MSP | 10.1.2228.10 en eerder

Endpoint DLP | 10.1.2137.5 en eerder

Key Manager Plus | 6400 en eerder

OS Deployer | 1.1.2243.0 en eerder

PAM 360 | 5712 en eerder

Password Manager Pro | 12123 en eerder

Patch Manager Plus | 10.1.2220.17 en eerder

Remote Access Plus | 10.1.2228.10 en eerder

Remote Monitoring and Management (RMM) | 10.1.40 en eerder

Vulnerability Manager Plus | 10.1.2220.17 en eerder

 

Producten die kwetsbaar zijn als SAML SSO ooit is ingeschakeld:

Active Directory 360 | 4309 en eerder

ADAudit Plus | 7080 en eerder

ADManager Plus | 7161 en eerder

ADSelfService Plus | 6210 en eerder

Asset Explorer | 6982 en eerder

ServiceDesk Plus | 14003 en eerder

ServiceDesk Plus MSP | 13000 en eerder

SupportCenter Plus | 11017 tot 11025

 

Oplossing en workarounds

Pinewood volgt het advies van ManageEngine om de kwetsbare versies bij te werken naar de meest recente, niet-kwetsbare versie. Deze staan beschreven op https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. Naast het advies op kwetsbare versies uit te faseren, adviseert Pinewood ook om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC’s) vrijgegeven om te kunnen onderzoeken of een compromittatie mogelijk al heeft plaatsgevonden. Hierin worden de logs van twee producten beschreven: ManageEngine ServiceDesk Plus 14003 en ManageEngine Endpoint Central 10.1.2228.10. De onderzoekers geven daarbij aan dat andere kwetsbare ManageEngine producten mogelijk dezelfde IoC-logs bevatten, maar dat hebben ze nog niet kunnen bevestigen. De logs van deze producten zijn te vinden in de “logs” folder van de installatiefolder, bijvoorbeeld C:\Program Files\ManageEngine\ServiceDesk\logs.

De benoemde IoC binnen de logs is als volgt:

[tijd]|[datum]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

Een dergelijke logregel wordt veroorzaakt omdat een aanvaller een SAML request moet maken met een ongeldige signature om de kwetsbaarheid uit te buiten.

Meer informatie

NCSC advisory: https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post: https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC onderzoek: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch-lijst: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Vragen

Voor vragen m.b.t. dit issue kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION========

Description

Recently, a vulnerability in Zoho ManageEngine products has come to light, which has been classified by the NCSC as high/high. It concerns CVE-2022-47966, a vulnerability that can be exploited remotely and without authentication to execute arbitrary code. Depending on the specific ManageEngine product, this vulnerability is exploitable if SAML single-sign-on is currently enabled or has ever been enabled. The vulnerability allows for the remote execution of arbitrary code with system privileges. In this way, a vulnerable system can be completely taken over and malicious software can be installed, such as ransomware. Although there is currently no report of active abuse, researchers from Horizon3 have indicated that they will release sample code soon that can be used to exploit this vulnerability. The release of this code increases the likelihood of large-scale abuse of this vulnerability.

Vulnerable versions

Updates for vulnerable products were released in October and November of 2022.

Products that are vulnerable if SAML SSO is currently enabled:

Access Manager Plus | 4307 and earlier

Analytics Plus | 5140 and earlier

Application Control Plus | 10.1.2220.17 and earlier

Browser Security Plus | 11.1.2238.5 and earlier

Device Control Plus | 10.1.2220.17 and earlier

Endpoint Central | 10.1.2228.10 and earlier

Endpoint Central MSP | 10.1.2228.10 and earlier

Endpoint DLP | 10.1.2137.5 and earlier

Key Manager Plus | 6400 and earlier

OS Deployer | 1.1.2243.0 and earlier

PAM 360 | 5712 and earlier

Password Manager Pro | 12123 and earlier

Patch Manager Plus | 10.1.2220.17 and earlier

Remote Access Plus | 10.1.2228.10 and earlier

Remote Monitoring and Management (RMM) | 10.1.40 and earlier

Vulnerability Manager Plus | 10.1.2220.17 and earlier

 

Products that are vulnerable if SAML SSO has ever been enabled:

Active Directory 360 | 4309 and earlier

ADAudit Plus | 7080 and earlier

ADManager Plus | 7161 and earlier

ADSelfService Plus | 6210 and earlier

Asset Explorer | 6982 and earlier

ServiceDesk Plus | 14003 and earlier

ServiceDesk Plus MSP | 13000 and earlier

SupportCenter Plus | 11017 to 11025

Solutions and workarounds

Pinewood is following the advice of ManageEngine to update the vulnerable versions to the latest, non-vulnerable version. These are described on https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html. In addition to the advice to phase out vulnerable versions, Pinewood also advises to investigate vulnerable devices for signs of abuse.

Detection of possible abuse

The researchers from Horizon3 have released Indicators of Compromise (IoCs) to investigate whether a compromise may have occurred. This includes the logs of two products: ManageEngine ServiceDesk Plus 14003 and ManageEngine Endpoint Central 10.1.2228.10. The researchers indicate that other vulnerable ManageEngine products may contain the same IoC logs, but they have not yet been able to confirm this. The logs of these products can be found in the “logs” folder of the installation folder, for example C:\Program Files\ManageEngine\ServiceDesk\logs.

The specified IoC within the logs is as follows:

[time]|[date]|[SYSERR]|[INFO]|[59]: com.adventnet.authentication.saml.SamlException: Signature validation failed. SAML Response rejected|

In order for an attacker to execute this RCE, they will need to craft a SAML request with an invalid signature hence the exception.

Extra info

NCSC advisory (dutch): https://advisories.ncsc.nl/advisory?id=NCSC-2023-0023

DTC post (dutch): https://www.digitaltrustcenter.nl/nieuws/kans-op-misbruik-kwetsbaarheid-zoho-manageengine

Horizon3 IoC research: https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

ManageEngine patch list: https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Questions

For questions related to these vulnerabilitie(s), please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl