Erkennung von CVE-2021-44515: Zero-Day in Zoho ManageEngine Desktop Central
Inhaltsverzeichnis:
Bleiben Sie wachsam! Bedrohungsakteure nutzen aktiv die neue Zero-Day-Schwachstelle (CVE-2021-44515) in Zoho ManageEngine Desktop Central-Produkten, um Unternehmen weltweit anzugreifen. Die Schwachstelle ist ein kritisches Authentifizierungs-Bypass-Problem, das es Hackern ermöglicht, unbefugten Zugriff zu erlangen und beliebigen Code auf verwundbaren Servern auszuführen.
CVE-2021-44515 Beschreibung
Zoho ManageEngine Desktop Central ist ein weit verbreitetes Verwaltungsprogramm, das Administratoren für die automatische Softwarebereitstellung und Fernfehlerbehebung über das gesamte Netzwerk verwenden.
Am 3. Dezember 2021 kündigte Zoho das Vorhandensein der kritischen Zero-Day-Schwachstelle an und stellte gleichzeitig das Patch und die Minderungsschritte bereit. Laut Zoho betrifft die Schwachstelle ihr Manage Engine Desktop Central und Desktop Central MSP und ermöglicht es Angreifern, unbefugten Zugriff auf die Installation zu erlangen und eine speziell gestaltete Anfrage zu senden, die zur Remote-Code-Ausführung auf den Desktop Central MSP-Servern führt.
Eine schnelle Shodan-Suche zeigt mehr als 3.200 ManageEngine Desktop Central-Installationen, die anfällig für Angriffe sind. Da Details der Schwachstelle öffentlich bekannt gemacht wurden, nutzen Hacker den Zoho ManageEngine-Fehlerausnutzungsvektor aktiv.
CVE-2021-44515 ist die dritte Schwachstelle in einem Zeitraum von vier Monaten, die aktiv von Angreifern ausgenutzt wird. Sie bildet mit dem ADSelfService Zero-Day-Exploit (CVE-2021-40539) und einer kritischen ServiceDesk-Schwachstelle (CVE-2021-44077), die von mehreren staatlich geförderten Akteuren für Einbrüche im Verlauf von August bis Oktober 2021 genutzt wurde, ein gefährliches Trio. Außerdem hat CISA letzte Woche eine Warnung zu CVE-2021-44077 ausgegeben , die darüber informiert, dass APT-Akteure die Schwachstelle verwendet haben, um Webshells abzulegen und eine Vielzahl von Nachnutzungsvorgängen im Verlauf der „TitledTemple“-Kampagne.
durchzuführen.
Zoho hat die CVE-2021-44515: Sicherheitsmitteilung veröffentlicht, in der sie das Exploit Detection Tool vorstellen, das es Organisationen ermöglicht zu erkennen, ob ihre Installation von der Authentifizierungs-Bypass-Schwachstelle betroffen ist. Die Sicherheitsmitteilung umfasst auch den Vorfallsreaktionsplan und Empfehlungen, wie man handeln sollte, um die Risiken zu minimieren, sobald man von der Schwachstelle betroffen ist.
Um Organisationen zu helfen, ihre Infrastruktur besser zu schützen, hat das SOC Prime Team kürzlich die dedizierte Sigma-basierte Regel entwickelt, die es Sicherheitsexperten ermöglicht, Versuche zur Ausnutzung dieser berüchtigten Zero-Day-Schwachstelle in Zoho ManageEngine-Produkten zu bewerten. Sicherheitsteams können die Regel über SOC Primes Detection as Code-Plattform herunterladen:
Mögliche Zoho Desktop Central [CVE-2021-44515] Ausnutzungsmuster (via file_event)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix und Open Distro.
Die Regel ist mit der neuesten MITRE ATT&CK® Framework v.10 ausgerichtet, das die Initial Access-Taktik mit Exploit Public-Facing Application als Haupttechnik (T1190) adressiert.
Außerdem können Sicherheitsexperten die bösartige Aktivität im Zusammenhang mit dem ADSelfService Zero-Day-Exploit (CVE-2021-40539) identifizieren, indem sie eine Sammlung kuratierter Inhalte herunterladen, die im Threat Detection Marketplace-Repository, unterstützt von SOC Primes Plattform, verfügbar ist.
Treten Sie bei SOC Primes Detection as Code-Plattform kostenlos bei, um nach den neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung zu suchen, Ihre Bedrohungsabdeckung zu verbessern, indem Sie auf die relevantesten Inhalte zugreifen, die mit der MITRE ATT&CK-Matrix ausgerichtet sind, und insgesamt die Cybersicherheitsfähigkeiten Ihrer Organisation zu steigern. Sind Sie ein Inhaltsautor? Nutzen Sie die Kraft der weltweit größten Cyberverteidigungsgemeinschaft, indem Sie dem SOC Prime Threat Bounty-Programmbeitreten, in dem Forscher ihre eigenen Erkennungsinhalte monetarisieren können.
