# CVE-2022-47966 > [!critical] RCE sem Autenticação em 20+ Produtos ManageEngine - CVSS 9.8 > Vulnerabilidade crítica na implementação SAML de múltiplos produtos ManageEngine/Zoho permite execução remota de código sem autenticação. Explorada ativamente por grupos APT incluindo o iraniano Mango Sandstorm. ## Visão Geral A [[cve-2022-47966|CVE-2022-47966]] é uma vulnerabilidade crítica de **execução remota de código** que afeta mais de 20 produtos da linha ManageEngine da Zoho Corporation. A falha reside na implementação da biblioteca **Apache Santuario XML Security** para processamento SAML, e pode ser explorada por atacantes remotos não autenticados quando SAML SSO está habilitado ou previamente habilitado nos produtos. O impacto é amplificado pelo fato de que ManageEngine representa uma suíte completa de gerenciamento de TI empresarial - incluindo ServiceDesk Plus (ITSM), OpManager (gestão de rede), ADManager Plus (gestão Active Directory) e dezenas de outros produtos. Comprometer qualquer um deles pode dar ao atacante visibilidade e controle sobre toda a infraestrutura de TI da organização. O grupo iraniano [[g0069-mango-sandstorm|Mango Sandstorm]] (MERCURY/MuddyWater) foi documentado explorando esta vulnerabilidade em campanhas de espionagem. No Brasil, o ManageEngine tem penetração significativa em médias e grandes empresas, especialmente como solução de ServiceDesk e gestão de redes. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE via SAML XML Signature Wrapping | | Componente | Apache Santuario (xmlsec1) - SAML SP | | Vetor | Rede - sem autenticação | | Requer SAML configurado | Sim (ativo ou previamente ativo) | | Produtos afetados | 20+ produtos ManageEngine | ### Produtos Mais Críticos Afetados - ServiceDesk Plus (help desk corporativo) - OpManager (monitoramento de rede) - ADManager Plus (gestão de Active Directory) - Analytics Plus, Applications Manager, e outros ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de produtos ManageEngine expostos | | [[t1059-004-unix-shell\|T1059.004]] | Shell reverse pós-RCE em Linux | | [[t1078-valid-accounts\|T1078]] | Roubo de credenciais via AD Management | | [[t1210-exploitation-of-remote-services\|T1210]] | Pivot pela rede via OpManager comprometido | ## Detecção e Defesa **Mitigações:** - Atualizar todos os produtos ManageEngine afetados - [[m1051-update-software\|M1051]] - Verificar e aplicar patches em toda a suíte ManageEngine - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar SAML SSO se não necessário - Restringir acesso às interfaces ManageEngine por IP/VPN > [!latam] Relevância para Brasil e LATAM > ManageEngine é uma das soluções de ITSM e gestão de TI mais populares em empresas brasileiras de médio porte, especialmente no setor de saúde, educação e serviços. A exploração desta vulnerabilidade pode comprometer simultaneamente o service desk, monitoramento de rede e gestão de Active Directory - dando ao atacante um mapa completo da infraestrutura e acesso privilegiado a todos os sistemas. ## Referências - [Rapid7 Analysis - CVE-2022-47966](https://www.rapid7.com/blog/post/2023/01/19/etr-CVE-2022-47966-rapid7-observed-exploitation-of-critical-manageengine-vulnerability/) - [NVD - CVE-2022-47966](https://nvd.nist.gov/vuln/detail/CVE-2022-47966) - [ManageEngine Security Advisory](https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-47966.html)