CVE-2022-28219 Détection : Vulnérabilité RCE Critique dans Zoho ManageEngine ADAudit Plus
Table des matières :
ManageEngine de Zoho exploite des cadres de gestion de réseau rentables utilisés par plus de 40 000 entreprises dans le monde entier. En raison de la popularité du logiciel et de son utilisation généralisée à travers le globe, les menaces cybernétiques détectées dans les produits de Zoho pourraient avoir un impact sévère sur des milliers d’entreprises compromises, ce qui s’est déjà produit avec la vulnérabilité critique de type zero-day dans les produits ManageEngine Desktop Central.
Le 30 juin 2022, des chercheurs en cybersécurité ont dévoilé une vulnérabilité d’exécution de code à distance (RCE) affectant ManageEngine ADAudit Plus, l’outil de conformité de Zoho utilisé par les organisations pour suivre les changements dans l’environnement Active Directory (AD). Cette vulnérabilité critique référencée sous le code CVE-2022-28219 permet aux attaquants d’obtenir un accès privilégié aux identifiants AD et d’exfiltrer des données sensibles.
Détecter la vulnérabilité CVE-2022-28219
Pour aider les organisations à minimiser les risques causés par les tentatives d’exploitation du CVE-2022-28219, l’équipe de SOC Prime a récemment publié un ensemble de règles Sigma dédiées qui peuvent être immédiatement atteintes en utilisant le tag approprié #CVE-2022-28219:
Règles Sigma pour détecter les tentatives d’exploitation du CVE-2022-28219
Pour accéder au contenu mentionné ci-dessus permettant la détection proactive de l’exploitation de la vulnérabilité CVE-2022-28219, assurez-vous de vous inscrire ou de vous connecter à la plateforme de SOC Prime.
The Chemins Windows suspects dans une requête web (via web) La règle Sigma permet de détecter les tentatives d’adversaires d’activer une désérialisation Java non fiable et l’exécution de commandes via une requête web contenant un chemin de système d’exploitation.
Une autre détection de la liste ci-dessus, Exploitation possible de l’endpoint ADAudit vulnérable CVE-2022-28219 (via web), détecte des schémas d’exploitation de endpoints ADAudit vulnérables liés au CVE-2022-28219.
Les deux règles Sigma peuvent être instantanément converties pour les solutions SIEM, EDR et XDR leaders dans l’industrie et ajustées à des schémas de données personnalisés pour des déploiements de contenu évolutifs. Pour une visibilité accrue des menaces, les règles Sigma dédiées sont alignées avec le MITRE ATT&CK® cadre adressant la tactique d’Accès Initial avec comme technique principale l’Exploitation des Applications Public-Facing (T1190).
Les chasseurs de menaces, les spécialistes de la cyber-intelligence des menaces et d’autres praticiens de la sécurité de l’information peuvent également appliquer les règles Sigma mentionnées ci-dessus pour rechercher instantanément les menaces associées au CVE-2022-28219 en utilisant le module Quick Hunt de SOC Prime.
La plateforme Detection as Code de SOC Prime, qui regroupe une vaste collection d’algorithmes de détection pour défendre de façon proactive contre les menaces cybernétiques affectant les produits ManageEngine de Zoho. Cliquez sur le bouton Détecter & Chasser ci-dessous pour accéder à la liste complète des règles de détection et des requêtes de chasse dédiées. Alternativement, les experts en cybersécurité peuvent parcourir SOC Prime pour explorer plus en profondeur les informations contextuelles relatives au CVE-2022-28219, explorer les références MITRE ATT&CK, les descriptions CVE, les liens CTI pertinents, et plus encore — le tout en un seul endroit et sans inscription.
Détecter & Chasser Explorer le Contexte des Menaces
Analyse et Atténuation des Flaws de ManageEngine ADAudit Plus
The enquête par Horizon3.ai détaille la vulnérabilité RCE non authentifiée affectant l’outil de conformité Zoho ManageEngine ADAudit Plus. Les chercheurs notent que cette faille critique résulte d’une série de lacunes de sécurité, notamment la désérialisation Java non fiable, la traversée de chemins, et une injection d’entités XML externes (XXE) aveugle. Si elle est exploitée, le bug permet aux adversaires d’exécuter du code à distance sur des instances vulnérables et, dans certains cas, de compromettre des comptes administrateurs de domaine.
La preuve de concept de l’exploit est publiquement disponible via GitHub. La nature du bug et son effet potentiel en font un point d’intérêt majeur pour les opérateurs de ransomwares et les brokers d’accès initial.
Les chercheurs exhortent tous les utilisateurs d’entreprise d’ADAudit Plus à mettre à jour leurs instances vers la version 7060 afin de prévenir les attaques contre l’infrastructure.
Pour renforcer la posture de cybersécurité de votre organisation, accédez à la plus grande collection au monde de règles Sigma compatibles avec plus de 25 plateformes SIEM, XDR et EDR via la plateforme Detection as Code de SOC Prime. Envie d’aider la communauté mondiale de la cybersécurité à résister aux menaces émergentes tout en perfectionnant vos compétences en Hunting de Menaces et de Conception de Détection ? Rejoignez notre Programme de Prime aux Menaces, faites publier vos propres règles Sigma sur la plateforme SOC Prime, et recevez des paiements récurrents pour votre contribution !
