Vulnerabilidade no ManageEngine da Zoho pode resultar em ataques ‘spray and pray’

A Rapid7 lançou um alerta dizendo que viu organizações a serem comprometidas em explorações de uma vulnerabilidade recentemente corrigida do ManageEngine da Zoho, denominada CVE-2022-47966. A falha existe no Apache xmlsec, também conhecido como XML Security for Java, versão 1.4.1, que permite que os atacantes executem código arbitrário remotamente sem autenticação.

Considerada de “severidade crítica”, a vulnerabilidade foi descoberta em novembro de 2022, quando a Zoho anunciou patches para mais de 20 produtos on-premises impactados. Um comunicado do NIST explica que o bug existe “porque o xmlsex XSLT apresenta, por design nessa versão, a aplicação responsável por certas proteções de segurança, e as aplicações ManageEngine não forneceram essas proteções”.

Já no início do mês, a Horizon3.ai alertou que existem pelo menos mil produtos vulneráveis expostos da ManageEngine, todos suscetíveis a ataques ‘spray and pray’, publicando, inclusive, um proof-of-concept sobre a falha.

“As organizações que utilizam qualquer um dos produtos afetados listados no aviso do ManageEngine devem atualizar imediatamente e rever sistemas não atualizados por sinais de compromisso, uma vez que o código de exploração está disponível ao público e a exploração já começou”, avisa a Rapid7.