Zunehmende Spray-and-Pray-Angriffe gegen Manage-Engine-IT-Management-Tools

Mit einer opportunistischen Attacke greifen Cyberkriminelle seit Januar 2023 weltweit Implementierungen der Manage-Engine-Softwarelösungen der Zoho Corporation an. Die Bitdefender Labs haben erste Attacken in ihrer Telemetrie analysiert. Die neue Kampagne ist ein weiteres Beispiel für das häufiger auftretende opportunistische, zunächst automatisierte Suchen nach Schwachstellen durch Cyberkriminelle, auf das hybride gezielte Attacken folgen. Ziel der Angreifer ist es, Code aus der Ferne auszuführen (Remote-Code-Execution – RCE), um weiteren Payload auszuspielen oder Industriespionage zu starten. Potenziell sind weltweit aktuell rund 2.000 bis 4.000 Server mit Internetzugang betroffen. Ein Patch wird dringend empfohlen. Manage-Engine hatte bereits am 10. Januar 2023 den Bericht über die Schwachstelle CVE-2022-47966 veröffentlicht, die 24 Produkte betrifft. 

Gegenwärtige Verteilung der Angriffe auf die ManageEngine-Schwachstelle CVE-22022-47966.

Manage-Engine, die Enterprise-IT-Management-Sparte der Zoho Corporation bietet ein umfangreiches Portfolio an Echtzeittools, um IT-Umgebungen zu überwachen. Weltweit steigen seit 20. Januar 2023 Attacken auf den Manage-Engine-Exploit CVE-2022-47966. Diese Remote-Code-Execution (RCE) erlaubt die vollkommene Übernahme der kompromittierten Systeme durch einen nicht authentifizierten Angreifer. Insgesamt sind 24 verschiedene Manage-Engine-Produkte verwundbar. Zwei- bis viertausend Server mit Internetzugang verfügen über Manage-Engine-Versionen, die mit dem vom Horizon3.ai-Team dokumentierten Proof of Concept (PoC) mögliche Opfer sind. Nicht alle Server können mit diesem PoC angegriffen werden, weil das XML-Framework Security-Assertion-Markup-Language (SAML) konfiguriert sein muss.

Hybride Spray-and-Pray-Attacken im Trend

Die derzeitigen Angriffe sind ein weiteres Beispiel für einen zunehmenden Trend, skalierbare globale Attacken durchzuführen. Startpunkt ist ein automatisierter opportunistischer Scan nach einer RCE-Schwachstelle, oft nach einem veröffentlichten PoC. Solche Attacken zielten bereits auf Microsoft-Exchange-, Apache- oder VMware-ESXI-Umgebungen ab. Die im Scan entdeckten verwundbaren Systeme werden dann automatisch kompromittiert. Als Ergebnis einer solchen „Spray-and-Pray“-Taktik können die Cyberkriminellen, selbst wenn viele Unternehmen ihre Systeme patchen, zahlreiche andere Server mit Internetkonnektivität angreifen.

Entfaltetes Risikopotenzial

Bei nicht gepatchten Systemen implementieren die Angreifer dann weitere Tools. Initial-Access-Broker, die ihr Wissen um Lücken verkaufen, versuchten, Anydesk-Software für den persistenten Remote-Zugang zu initialisieren. In anderen Fällen spielten die Täter den Payload einer neuen Ransomware-Attacke Buhti aus. Andere versuchten, das Simulationstool für Wirtschaftsspionage Cobalt-Strike oder das RAT-el-Red-Teaming-Tool für das Pentesting auszuspielen und für Ihre Zwecke zu entfremden.

Hybride Attacken: Der automatisierte Scan geht in eine gezielte Attacke über.

Die Angreifer modifizieren den PoC oft nur minimal. Dadurch ist der unmittelbare Effekt einer Attacke zunächst nur gering. Viele Opfer reagieren deshalb lediglich mit vorläufigen Reparaturen oder Workarounds. Die Systeme gelten dann zunächst als immun, stehen aber bei der nächsten Modifikation durch die Angreifer offen.

Unternehmen sollten dringend ihre Systeme patchen. Wichtig sind zudem Lösungen, die die Reputation von IP-Adressen, Domänen oder URLs beurteilen. Ebenso helfen Extended-Detection-and Response-Ansätze. Auch externe Hilfe von Managed-Detection-and-Response-Diensten verbessert die Abwehr solcher Angreifer.

Die vollständige Studie von Bitdefender findet sich hier: https://businessinsights.bitdefender.com/tech-advisory-manageengine-cve-2022-47966 .

#Bitdefender