Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เปิดเผยรายงานการพบการโจมตีช่องโหว่ของ ManageEngine (CVE-2022-47966) ซึ่งเป็นช่องโหว่ในการรันคำสั่ง และสั่งการจากระยะไกล Remote Code Execution (RCE) เพื่อเปิดใช้งาน reverse shell โดยช่องโหว่นี้กระทบต่อผลิตภัณฑ์ของ ManageEngine ไม่น้อยกว่า 24 รายการ

Rapid7 ได้พบเห็นการโจมตีโดยใช้ช่องโหว่ CVE-2022-47966 ตั้งแต่วันที่ 17 มกราคม 2023 ซึ่งเป็นวันก่อนที่นักวิจัยของ Horizon3 จะปล่อย Proof-of-Concept (PoC) ที่เป็นตัวอย่างในการโจมตี และการวิเคราะห์ทางเทคนิคเชิงลึกของช่องโหว่ดังกล่าว โดยตัว PoC นั้นส่งผลกระทบต่อ ServiceDesk Plus และ Endpoint Central ที่เปิดเผยบนอินเทอร์เน็ตมากกว่า 8,300 รายการ

เช่นเดียวกับ นักวิจัยที่ Shadowserver Foundation องค์กรด้านความปลอดภัย ที่ค้นพบกลุ่ม Hackers ประมาณ 10 IP ที่ได้พยายามโจมตี ผลิตภัณฑ์ ManageEngine หลายรายการ (ที่เปิดใช้งาน SAML SSO) ด้วยช่องโหว่ RCE ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิได้ และ GreyNoise บริษัทข่าวกรองด้านภัยคุกคาม ที่ค้นพบกลุ่ม Hackers ประมาณ 11 IP ได้มุ่งโจมตีไปยัง ผลิตภัณฑ์ ManageEngine ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยพบว่าใน IP ดังกล่าว เช่น 221.226.159.22 ที่ถูกสร้างบน Linux server บน China Telecom และ IP 106.246.224[.]219/hlmllmo เป็นกลุ่ม IP เดียวกับที่เคยโจมตี เซิร์ฟเวอร์ที่มีช่องโหว่ Log4shell มาก่อน

การโจมตี

Rapid7 ได้ตรวจสอบการโจมตี ManageEngine โดยใช้ช่องโหว่ CVE-2022-47966 ซึ่งพบขั้นตอนการโจมตีดังนี้

Hacker ใช้สคริปต์ PowerShell เพื่อปิดฟีเจอร์ Microsoft Defender real-time protection และเพิ่มโฟลเดอร์ C:\Users\Public ไปยังรายการยกเว้นการตรวจสอบของ Defender
เรียกใช้เพย์โหลดเพิ่มเติม รวมถึงเครื่องมือการเข้าถึงระยะไกลที่ปลอมตัวเป็นบริการ Windows Service Host

โดยหนึ่งในเครื่องมือเหล่านี้คือ Chisel ที่ใช้ภาษา Golang ซึ่งคล้ายกับ Plink (PuTTY Link) ในการสร้างช่องทางสื่อสาร reverse ssh (remote shell เพื่อหลบหลีกการตรวจจับจาก Firewall)

การป้องกัน

ผู้ดูแลระบบควรอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่อย่างเร่งด่วน เนื่องจากได้มีการเปิดเผย PoC ที่ใช้ในการโจมตีออกมาแล้ว

 

ที่มา : bleepingcomputer