ManageEngine出现严重漏洞，不用验证就能远程运行代码

据介绍，CVE-2022-47966漏洞可以允许攻击者无需身份认证即可ManageEngine在服务器中远程执行代码，这些服务器在之前的某个时间点基于saml的单点登录。（SSO）协议，所以关闭这个功能也不能解决任何问题。

研究人员指出，易受攻击的节点使用了一个名为“ApacheSantuario落后的第三方依赖项，正是因为这个原因，攻击者才能通过NTAUTHORITY\SYSTEM远程执行身份代码，然后完全控制系统。

现在看来，这个漏洞很容易使用，而且是攻击者在网上“”sprayandpray“有利的方法。研究人员警告说，这个漏洞可以作为NTAUTHORITY\SYSTEM远距离执行代码，基本上可以使攻击者完全控制系统”。

“如果用户确认他们的信息被泄露，他们需要进行额外的调查来确认攻击者造成的伤害。攻击者一旦获得系统级访问节点的限制，攻击者可能会开始通过LSASS存储凭证或使用现有公共工具浏览存储应用凭证进行横向转移。

值得注意的是，在搜索了Shodan未打补丁的节点之后，研究人员仍然发现了“数千个”容易受到攻击。ManageEngine商品，ServiceDeskPlus和EndpointCentral例子，希望大家保持警惕。

现在，业界还没有关于行业的问题。CVE-2022-47966被恶意使用的报告，但是如果IT管理员选择忽略这个漏洞，受害者迟早会出现。