Folgen 
Zoho ManageEngine ServiceDesk Plus Exploit-Erkennung
Sicherheitsforscher warnen davor, dass Hacker weiterhin die Schwachstelle in Zoho ManageEngine ServiceDesk Plus (SDP) ausnutzen. Trotz des Patches, der im ersten Quartal 2019 veröffentlicht wurde, bleiben viele Instanzen anfällig, was es Angreifern ermöglicht, Webshell-Malware bereitzustellen und gezielte Netzwerke zu kompromittieren.
CVE-2019-8394 Analyse
Die Schwachstelle (CVE-2019–8394) wurde am 18. Februar 2019 bekannt gegeben und sofort von Bedrohungsakteuren ausgenutzt, um ihre bösartigen Fähigkeiten zu verbessern. Der Fehler tritt aufgrund unzureichender Bereinigung von vom Benutzer bereitgestellten Eingaben in der App während der Verarbeitung einer manipulierten SMTP-Anfrage auf. Infolgedessen könnte ein Angreifer die Schwachstelle ausnutzen, um einen Webshell-Inhalt auf den Server hochzuladen und eine Codeausführung durchzuführen. The Ausbeutungsroutine of Die Schwachstelle setzt voraus, dass die Betrüger minimale Berechtigungen im Netzwerk erwerben müssen, z.B. über Gastzugangsdaten. Weiterhin könnte der authentifizierte Akteur eine Webshell hochladen und beliebige Systembefehle ausführen, die generell über HTTPS übertragen werden. Tatsächlich fungiert die bösartige Webshell als Backdoor und könnte Hacker zu anderen Netzwerken umleiten, um den Umfang des Kompromisses zu erweitern. Laut dem gemeinsamen Bericht, der U.S. National Security Agency (NSA) und der Australian Signals Directorate (ASD) nutzen Gegner Webshell-Malware häufig, um Netzwerkeinbrüche durchzuführen und anhaltenden Zugriff zu erlangen. Folglich wird die CVE-2019–8394-Schwachstelle zu einem der wichtigsten Exploits für solche Angriffe.
Erkennungs- und Abhilfemaßnahmen
Die Schwachstelle betrifft Zoho ManageEngine ServiceDesk Plus (SDP) vor Build 10.0 10012, daher stellen Sie sicher, dass Sie Ihre Software auf die gepatchte Version aktualisiert haben. Sie könnten auch den Bericht nutzen, der von ASD und NSA entwickelt wurde, um die Bedrohung im Zusammenhang mit der Webshell-Malware zu mindern.
Um die relevantesten SOC-Inhalte für CVE-2019–8394 zu erhalten, empfehlen wir Ihnen, den Threat Detection Marketplace zu abonnieren. Überprüfen Sie die neueste Sigma-Regel von Sittikorn Sangrattanapitak für die proaktive Erkennung des Exploits:
https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness
NTA: Corelight
MITRE ATT&CK:
Taktiken: Persistenz
Technik: Server Softwarekomponente (T1505)
Der Threat Detection Marketplace von SOC Prime enthält über 81.000+ SOC-Inhalte, die auf die meisten SIEM- und EDR-Lösungen anwendbar sind. Erhalten Sie ein kostenloses Abonnement für Threat Detection Marketplace und entdecken Sie die relevantesten kuratierten Inhalte, die mit bestimmten CVE, TTPs, die von APT-Gruppen verwendet werden, und mehreren MITRE ATT&CK®-Parametern versehen sind. Haben Sie Spaß am Programmieren und möchten die Cybergemeinschaft sicherer machen? Zögern Sie nicht, unserem Threat Bounty Program beizutreten und helfen Sie uns, die Horizonte in der Erkennung von Cyberbedrohungen zu erweitern.
