Detección y Mitigación de Vulnerabilidades en Zoho ManageEngine ServiceDesk Plus

Detección de explotación de Zoho ManageEngine ServiceDesk Plus

Investigadores de seguridad advierten que los hackers continúan explotando la vulnerabilidad de Zoho ManageEngine ServiceDesk Plus (SDP) en el entorno real. A pesar del parche lanzado en el primer trimestre de 2019, muchas instancias siguen siendo vulnerables, lo que permite a los adversarios desplegar malware de shell web y comprometer redes objetivo.

Análisis de CVE-2019-8394

La vulnerabilidad (CVE-2019–8394) fue revelada el 18 de febrero de 2019 e inmediatamente explotada por actores de amenazas para ampliar sus capacidades maliciosas. El problema ocurre debido a la insuficiente sanitización de las entradas de usuario suministradas en la aplicación al manejar una solicitud SMTP manipulada. Como resultado, un atacante podría utilizar la falla para cargar contenido de shell web en el servidor y ejecutar código. The rutina de explotación of la falla supone que los estafadores necesitan adquirir permisos mínimos en la red, por ejemplo, mediante credenciales de invitado. Además, el actor autenticado podría cargar un shell web y ejecutar comandos arbitrarios del sistema, generalmente entregados por HTTPS. De hecho, el shell web malicioso actúa como una puerta trasera y podría redirigir a los hackers a otras redes para expandir el alcance del compromiso. Según el informe conjunto de la Agencia de Seguridad Nacional de EE.UU. (NSA) y la Dirección de Señales de Australia (ASD) informe, los adversarios usan malware de shell web en común para realizar intrusiones en redes y lograr acceso persistente. En consecuencia, la falla CVE-2019–8394 se convierte en uno de los principales exploits para este tipo de ataques.

Acciones de detección y mitigación

La vulnerabilidad afecta a Zoho ManageEngine ServiceDesk Plus (SDP) antes de la versión 10.0 build 10012, por lo que asegúrese de haber actualizado su software a la versión parcheada. Además, puede considerar el aviso desarrollado por ASD y NSA para mitigar la amenaza asociada con el malware de shell web. 

Para obtener el contenido SOC más relevante para CVE-2019–8394, le recomendamos suscribirse al Mercado de Detección de Amenazas. Consulte la última regla Sigma de Sittikorn Sangrattanapitak para la detección proactiva de exploits:

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

La regla tiene traducciones para las siguientes plataformas:

SIEM: QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness

NTA: Corelight

MITRE ATT&CK:

Tácticas: Persistencia

Técnica: Componente de Software del Servidor (T1505)

El Mercado de Detección de Amenazas de SOC Prime contiene más de 81,000+ elementos de contenido SOC aplicables a la mayoría de las soluciones SIEM y EDR. Obtenga una suscripción gratuita al Mercado de Detección de Amenazas y descubra el contenido curado más relevante etiquetado con CVE particular, TTPs utilizados por grupos APT, y múltiples parámetros de MITRE ATT&CK®. ¿Disfruta programando y quiere hacer la comunidad cibernética más segura? No dude en unirse a nuestro Programa de Recompensas por Amenazas y ayúdenos a expandir los horizontes en la detección de amenazas cibernéticas.