NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheid in Zoho ManageEngine verholpen
Advisory ID     : NCSC-2023-0023
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2022-47966
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20230120
Toepassing      : Zoho ManageEngine ADAudit Plus
                  Zoho ManageEngine ADManager
                  Zoho ManageEngine ADManager Plus Pro
                  Zoho ManageEngine ADSelfService Plus
Versie(s)       :
Platform(s)     :

Update
   Onderzoekers hebben de verwachte Proof-of-Conceptcode (PoC)
   gepubliceerd. De kans op actief misbruik door kwaadwillenden wordt
   hiermee aanzienlijk. Het NCSC adviseert de beveiligingsupdate met
   spoed in te zetten, indien dit nog niet is gedaan.
   De inschaling van dit beveiligingsadvies blijft onverkort HIGH/HIGH

Beschrijving
   Er is een kwetsbaarheid verholpen in diverse Zoho ManageEngine
   producten. De kwetsbaarheid bevindt zich in een onderliggend
   third-party product: Apache Santuario. De kwetsbaarheid stelt een
   kwaadwillende in staat om willekeurige code uit te voeren op het
   kwetsbare systeem met rechten van het systeem.

   Onderzoekers van Horizon3 [1] hebben proof-of-concept code
   uitgebracht, conform hun aankondiging, [2] dat de kwetsbaarheid
   uitbuit om zodoende mogelijk toegang te verkrijgen tot het kwetsbare
   systeem. Het risico van grootschalig misbruik na uitbrengen van deze
   PoC is aanwezig. Het NCSC schaalt daarom dit beveiligingsadvies
   handmatig in als HIGH/HIGH

   Om de kwetsbaarheid te kunnen uitbuiten moet SAML single-sign-on
   ingeschakeld zijn of in het verleden zijn geweest.

   Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en
   werkt dit beveiligingsadvies bij wanneer nieuwe informatie
   beschikbaar komt.

   [1]
   https://www.bleepingcomputer.com/news/security
      /researchers-to-release-poc-exploit-for-critical-zoho-rce-bug-pat
      ch-now/

   [2] https://twitter.com/Horizon3Attack/status/1613380836660748288

Mogelijke oplossingen
   Zoho heeft updates uitgebracht om de kwetsbaarheid te verhelpen in
   de getroffen ManageEngine producten. Voor meer informatie, zie:

   https://www.manageengine.com/security/advisory/CVE
      /cve-2022-47966.html

   De onderzoekers van Horizon3 hebben Indicators of Compromise (IoC's)
   vrijgegeven om te kunnen onderzoeken of mogelijke compromittatie
   heeft plaatsgevonden, zie:

   https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8
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=/aQe
-----END PGP SIGNATURE-----