CVE-2022-28219 Erkennung: Kritische RCE-Schwachstelle in Zoho ManageEngine ADAudit Plus
Inhaltsverzeichnis:
Zoho’s ManageEngine betreibt kostengünstige Netzwerkinfrastrukturmanagement-Rahmenwerke, die von über 40.000 Unternehmen weltweit genutzt werden. Aufgrund der Beliebtheit der Software und ihrer weiten Verbreitung rund um den Globus könnten Cyberbedrohungen, die in Zohos Produkten entdeckt werden, erhebliche Auswirkungen auf Tausende von kompromittierten Unternehmen haben, was bereits zuvor bei der kritischen Zero-Day-Schwachstelle in ManageEngine Desktop Central-Produkten geschah.
Am 30. Juni 2022 haben Cybersicherheitsforscher eine Remote-Code-Ausführungs-Schwachstelle (RCE) aufgedeckt, die ManageEngine ADAudit Plus betrifft, Zohos Compliance-Tool, das von Unternehmensorganisationen genutzt wird, um Änderungen in der Active Directory (AD) Umgebung zu verfolgen. Diese kritische Schwachstelle verfolgt als CVE-2022-28219, ermöglicht Angreifern den Zugriff auf AD-Anmeldedaten und das Entwenden sensibler Daten.
Erkennung der CVE-2022-28219 Schwachstelle
Um Organisationen dabei zu helfen, die Risiken durch Ausnutzungsversuche der CVE-2022-28219 zu minimieren, hat das SOC Prime-Team kürzlich eine Reihe dedizierter Sigma-Regeln veröffentlicht, die mit dem entsprechenden Tag #CVE-2022-28219:
sofort aufgerufen werden können, um Ausnutzungsversuche der CVE-2022-28219 zu erkennen.
Um auf die oben genannten Inhalte zur proaktiven Erkennung der Ausnutzung der CVE-2022-28219-Schwachstelle zuzugreifen, melden Sie sich bitte an oder loggen Sie sich in die Plattform von SOC Prime ein.
The Verdächtige Windows-Pfade in Web-Anfragen (über das Web) Sigma-Regel ermöglicht die Erkennung von Angreiferversuchen, um nicht vertrauenswürdige Java-Deserialisierungen und Befehlsausführungen mittels einer Web-Anfrage auszulösen, die einen Betriebssystempfad enthält.
Eine weitere Erkennung aus der obigen Liste, Mögliche Ausnutzung des verwundbaren ADAudit-Endpunkts CVE-2022-28219 (über das Web), erkennt Muster der Ausnutzung verwundbarer ADAudit-Endpunkte im Zusammenhang mit CVE-2022-28219.
Beide Sigma-Regeln können sofort in führende SIEM-, EDR- und XDR-Lösungen umgewandelt und an benutzerdefinierte Datenschemata für skalierbare Inhaltsbereitstellungen angepasst werden. Für bessere Bedrohungserkennung sind die dedizierten Sigma-Regeln mit dem MITRE ATT&CK® Rahmenwerk abgestimmt, das die Taktik des Initialen Zugriffs mit der Technik der Ausnutzung öffentlicher Anwendungen (T1190) als primäre Technik anführt.
Bedrohungsjäger, Cyber-Threat Intelligence-Spezialisten und andere InfoSec-Praktiker können auch die oben genannten Sigma-Regeln anwenden, um sofort nach Bedrohungen im Zusammenhang mit CVE-2022-28219 zu suchen mithilfe des Quick Hunt-Moduls von SOC Prime.
SOC Primes Detection as Code-Plattform kuratiert eine breite Sammlung von Erkennungsalgorithmen, um proaktiv gegen Cyberbedrohungen zu verteidigen, die Zohos ManageEngine-Produkte betreffen. Klicken Sie auf den Detect & Hunt Button unten, um die umfassende Liste dedizierter Erkennungsregeln und Jagdanfragen zu erreichen. Alternativ können Cybersicherheitsexperten auf SOC Prime stöbern, um tiefer in kontextuelle Informationen im Zusammenhang mit CVE-2022-28219 einzutauchen, MITRE ATT&CK-Referenzen, CVE-Beschreibungen, relevante CTI-Links und mehr zu erkunden — alles an einem einzigen Ort und ohne Registrierung.
Detect & Hunt Bedrohungskontext erkunden
ManageEngine ADAudit Plus Schwachstellenanalyse & Minderung
The Untersuchung durch Horizon3.ai detailliert die nicht authentifizierte RCE-Schwachstelle, die das Zoho ManageEngine ADAudit Plus Compliance-Tool betrifft. Die Forscher stellen fest, dass dieser kritische Fehler aus einer Reihe von Sicherheitslücken resultiert, darunter nicht vertrauenswürdige Java-Deserialisierung, Pfad-Traversierung und eine blinde XML-Externen-Entitäten (XXE) Injektion. Im Falle einer Ausnutzung ermöglicht der Fehler Angreifern, Code remote auf verwundbaren Instanzen auszuführen und in einigen Fällen Domänen-Admin-Konten zu kompromittieren.
Der Proof-of-Concept-Exploit ist öffentlich verfügbar über GitHub. Die Natur des Bugs und potenzielle Auswirkungen machen ihn zu einem Punkt von hohem Interesse für Ransomware-Betreiber und Zugangsmakler.
Forscher drängen alle Unternehmensnutzer von ADAudit Plus, ihre Instanzen auf den Build 7060 zu aktualisieren, um Angriffe auf die Infrastruktur zu verhindern.
Um die Cybersicherheitslage Ihrer Organisation zu stärken, greifen Sie auf die weltweit größte Sammlung von Sigma-Regeln zu, die mit über 25 SIEM-, XDR- und EDR-Plattformen kompatibel ist, über SOC Primes Detection as Code-Plattform. Möchten Sie der globalen Cybersicherheitsgemeinschaft helfen, den aufkommenden Bedrohungen standzuhalten und gleichzeitig Ihre Fähigkeiten im Bereich Threat Hunting und Detection Engineering zu verfeinern? Treten Sie unserem Threat Bounty-Programmbei, lassen Sie Ihre eigenen Sigma-Regeln auf SOC Primes Plattform veröffentlichen und erhalten Sie wiederkehrende Auszahlungen für Ihren Beitrag!
