针对Zoho ManageEngine的网络攻击警告

重点摘要

• 使用互联网暴露的Zoho ManageEngine产品的组织，特别是启用了SAML单点登录（SSO）的，可能面临通过CVE-2022-47966漏洞实施的“喷洒和祈祷”攻击。
• 攻击者能够轻易利用该漏洞，实现系统完全接管或增加其他风险。
• 一旦攻击者获得系统级别的访问权限，他们可能会通过LSASS导出凭据，或利用现有工具访问存储的应用程序凭据进行横向移动。
• 在网络搜索中发现超过1,000个启用SAML的Zoho ManageEngine实例连入互联网，而尽管Zoho去年发布了补丁，但并非所有系统都已修复这一缺陷。
• 即使SAML当前未启用，过去启用过的情况下，漏洞依旧可能被利用。因此，建议无论SAML配置如何，都务必进行补丁更新。

根据的报道，针对互联网暴露的ZohoManageEngine产品的攻击正在增加，尤其是那些启用了SAML单点登录（SSO）的产品。攻击者可能利用CVE-2022-47966漏洞发起“喷洒和祈祷”式攻击。Horizon3.ai的报告指出，攻击者可以轻松利用这一漏洞，进行系统完全接管或部署进一步的风险。

“一旦攻击者获得系统级别的访问权限，他们很可能开始通过LSASS倾倒凭据，或者利用现有的公共工具访问存储的应用程序凭据，以进行横向移动，”Horizon3.ai的专家表示。

在一项Shodan搜索中发现，超过1,000个ZohoManageEngine实例互联且启用了SAML。尽管Zoho去年发布了补丁，但预期并非所有系统都已修复这一漏洞。Horizon3.ai的红队成员JamesHorseman指出：

“我们想强调的是，在某些情况下，即使当前未启用SAML，过去启用过时，也可能会造成漏洞被利用。最安全的做法是，无论产品的SAML配置如何，都要进行补丁。”

根据以上信息，企业应尽快评估自身的ZohoManageEngine产品，确保所有系统都已得到适当的补救措施。相关链接和参考资料可以帮助您进一步了解漏洞及其影响。

漏洞名称 | CVE-2022-47966
—|—
影响产品 | Zoho ManageEngine
漏洞影响程度 | 高
建议操作 | 立即打补丁

通过积极采取措施，企业可以进一步降低遭受网络攻击的风险，保护敏感信息和系统安全。