CVE-2022-28219 Detección: Vulnerabilidad Crítica de RCE en Zoho ManageEngine ADAudit Plus
Tabla de contenidos:
ManageEngine de Zoho opera marcos de gestión de red rentables utilizados por más de 40,000 empresas en todo el mundo. Debido a la popularidad del software y su amplio uso en todo el mundo, las amenazas cibernéticas detectadas en los productos de Zoho podrían tener un impacto severo en miles de negocios comprometidos, lo cual ocurrió anteriormente con la vulnerabilidad crítica de día cero en los productos ManageEngine Desktop Central.
El 30 de junio de 2022, los investigadores de ciberseguridad revelaron una vulnerabilidad de ejecución remota de código (RCE) que afecta a ManageEngine ADAudit Plus, la herramienta de cumplimiento de Zoho utilizada por organizaciones empresariales para realizar un seguimiento de los cambios en el entorno de Active Directory (AD). Esta vulnerabilidad crítica rastrea como CVE-2022-28219 permite a los atacantes obtener acceso privilegiado a las credenciales de AD y exfiltrar datos sensibles.
Detectar la Vulnerabilidad CVE-2022-28219
Para ayudar a las organizaciones a minimizar los riesgos causados por los intentos de explotación del CVE-2022-28219, el equipo de SOC Prime ha lanzado recientemente un conjunto de reglas Sigma dedicadas que se pueden acceder instantáneamente utilizando la etiqueta adecuada #CVE-2022-28219:
Reglas Sigma para detectar intentos de explotación del CVE-2022-28219
Para acceder al contenido mencionado anteriormente para la detección proactiva de la explotación de la vulnerabilidad CVE-2022-28219, asegúrese de registrarse o iniciar sesión en la plataforma de SOC Prime.
The Rutas de Windows sospechosas en solicitudes web (vía web) La regla Sigma permite detectar intentos adversarios de activar deserialización no confiable de Java y ejecución de comandos mediante una solicitud web que contiene una ruta del sistema operativo.
Otra detección de la lista anterior, Posible Explotación del Endpoint ADAudit Vulnerable CVE-2022-28219 (vía web), detecta patrones de explotación del endpoint ADAudit vulnerables relacionados con CVE-2022-28219.
Ambas reglas Sigma pueden convertirse instantáneamente en las soluciones líderes de SIEM, EDR y XDR de la industria y ajustarse a esquemas de datos personalizados para despliegues de contenido escalables. Para una mayor visibilidad de amenazas, las reglas Sigma dedicadas están alineadas con el MITRE ATT&CK® marco abordando la táctica de Acceso Inicial con Exploit Public-Facing Application (T1190) como su técnica principal.
Los Cazadores de Amenazas, especialistas en Ciberinteligencia de Amenazas y otros practicantes de InfoSec también pueden aplicar las reglas Sigma mencionadas anteriormente para buscar instantáneamente amenazas asociadas con CVE-2022-28219 utilizando el módulo Quick Hunt de SOC Prime.
La plataforma Detection as Code de SOC Prime cura una amplia colección de algoritmos de detección para defender proactivamente contra las amenazas cibernéticas que impactan los productos ManageEngine de Zoho. Haga clic en el Detectar & Cazar botón de abajo para acceder a la lista completa de reglas de detección dedicadas y consultas de caza. Alternativamente, los expertos en ciberseguridad pueden navegar por SOC Prime para profundizar en la información contextual relacionada con CVE-2022-28219, explorar referencias de MITRE ATT&CK, descripciones de CVE, enlaces CTI relevantes y más — todo en un solo lugar y sin registro.
Detectar & Cazar Explorar Contexto de Amenazas
Análisis y Mitigación de la Falla de ManageEngine ADAudit Plus
The investigación por Horizon3.ai detalla la vulnerabilidad RCE no autenticada que afecta a la herramienta de cumplimiento Zoho ManageEngine ADAudit Plus. Los investigadores señalan que esta falla crítica deriva de un conjunto de brechas de seguridad, incluyendo deserialización no confiable de Java, recorrido de ruta y una inyección ciega de Entidades Externas XML (XXE). En caso de ser explotado, el error permite a los adversarios ejecutar código de forma remota en instancias vulnerables y, en algunos casos, comprometer cuentas de administrador de dominio.
El exploit de prueba de concepto está públicamente disponible a través de GitHub. La naturaleza del error y el efecto potencial lo hacen un punto de alto interés para los operadores de ransomware y corredores de acceso inicial.
Los investigadores instan a todos los usuarios empresariales de ADAudit Plus a actualizar sus instancias a la compilación 7060 para prevenir ataques contra la infraestructura.
Para fortalecer la postura de ciberseguridad de su organización, acceda a la colección más grande del mundo de reglas Sigma compatibles con más de 25 plataformas SIEM, XDR y EDR a través de la plataforma Detection as Code de SOC Prime. ¿Deseoso de ayudar a la comunidad global de ciberseguridad a resistir las amenazas emergentes mientras perfecciona sus habilidades de Caza de Amenazas e Ingeniería de Detección? Únase a nuestro Programa de Recompensas por Amenazas, publique sus propias reglas Sigma en la plataforma de SOC Prime, ¡y reciba pagos recurrentes por su contribución!
