Компания Rapid7 реагирует на различные случаи компрометации, возникающие в результате эксплуатации CVE-2022-47966, уязвимости удаленного выполнения кода (RCE) перед аутентификацией, затрагивающей как минимум 24 локальных продукта ManageEngine. CVE-2022-47966 связана с уязвимой зависимостью от Apache Santuario. Некоторые из затронутых продуктов чрезвычайно популярны среди организаций и злоумышленников, включая ADSelfService Plus и ServiceDesk Plus. Патчи были выпущены в октябре и ноябре 2022 года; точные сроки выпуска исправленных версий зависят от конкретного продукта.
Indicators of Compromise
IPv4
- 111.68.7.122
- 149.28.193.216
- 172.93.193.64
URLs
- http://111.68.7.122:8081/svhost.exe