Horizon3攻击团队的网络安全研究人员发布了一个概念验证漏洞，该漏洞存在于许多VMware产品中。

据报道，CVE—2022—47966漏洞可以允许攻击者在未经身份验证的情况下远程执行ManageEngine服务器中的代码，而这些服务器在之前的某个时间点启用了基于saml的单点登录协议，因此关闭该功能并不能解决任何问题。

研究人员指出，易受攻击的端点使用一种名为Apache Santuario的过时的第三方依赖，这就是攻击者可以通过NT AUTHORITYSYSTEM identity远程执行代码，从而完全控制系统的原因。

目前这个漏洞很容易被利用，是攻击者在网上喷练的有利途径研究人员警告说，该漏洞允许以NT AUTHORITYSYSTEM的身份远程执行代码，这基本上让攻击者完全控制了系统

如果用户确定他们的信息已经泄露，他们需要进行额外的调查，以确定攻击者造成的损失一旦攻击者获得对端点的系统级访问权限，攻击者就可能开始通过LSASS转储凭据，或者使用现有的公共工具来访问存储的应用程序凭据以进行水平传输

本站提醒，Zoho已经发布了相应的补丁，需要的用户尽快下载。

值得一提的是，在通过Shodan搜索未打补丁的端点后，研究人员仍然发现了ManageEngine产品，ServiceDesk Plus和Endpoint Central的数千个易受攻击的例子希望你提高警惕

目前业内还没有关于恶意利用CVE—2022—47966的报道，但是如果IT管理员选择忽略这个漏洞，受害者迟早会出现。