-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Mogelijk misbruik kwetsbaarheid in Zoho ManageEngine
Advisory ID : NCSC-2023-0023
Versie : 1.00
Kans : high
CVE ID : CVE-2022-47966
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20230117
Toepassing : Zoho ManageEngine ADAudit Plus
Zoho ManageEngine ADManager
Zoho ManageEngine ADManager Plus Pro
Zoho ManageEngine ADSelfService Plus
Versie(s) :
Platform(s) :
Beschrijving
Er is een kwetsbaarheid verholpen in diverse Zoho ManageEngine
producten. De kwetsbaarheid bevindt zich in een onderliggend
third-party product: Apache Santuario. De kwetsbaarheid stelt een
kwaadwillende in staat om willekeurige code uit te voeren op het
kwetsbare systeem met rechten van het systeem.
Onderzoekers van Horizon3 [1] hebben aangekondigd proof-of-concept
code [2] uit te brengen dat deze kwetsbaarheid uitbuit om zodoende
mogelijk toegang te verkrijgen tot het kwetsbare systeem. Het risico
van grootschalig misbruik na uitbrengen van deze PoC is aanwezig.
Het NCSC schaalt daarom dit beveiligingsadvies handmatig in als
HIGH/HIGH
Om de kwetsbaarheid te kunnen uitbuiten moet SAML single-sign-on
ingeschakeld zijn of in het verleden zijn geweest.
Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en
werkt dit beveiligingsadvies bij wanneer nieuwe informatie
beschikbaar komt.
[1]
https://www.bleepingcomputer.com/news/security
/researchers-to-release-poc-exploit-for-critical-zoho-rce-bug-pat
ch-now/
[2] https://twitter.com/Horizon3Attack/status/1613380836660748288
Mogelijke oplossingen
Zoho heeft updates uitgebracht om de kwetsbaarheid te verhelpen in
de getroffen ManageEngine producten. Voor meer informatie, zie:
https://www.manageengine.com/security/advisory/CVE
/cve-2022-47966.html
De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC's)
vrijgegeven om te kunnen onderzoeken of mogelijke compromittatie
heeft plaatsgevonden, zie:
https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=Qjlh
-----END PGP SIGNATURE-----
