Détection de CVE-2021-44515 : Zero-Day dans Zoho ManageEngine Desktop Central
Table des matières :
Restez vigilant ! Les acteurs de la menace exploitent activement la nouvelle vulnérabilité zero-day (CVE-2021-44515) dans les produits Zoho ManageEngine Desktop Central pour attaquer les entreprises dans le monde entier. La faille est un problème critique de contournement d’authentification qui permet aux pirates d’obtenir un accès non autorisé et d’exécuter du code arbitraire sur des serveurs vulnérables.
Description de CVE-2021-44515
Zoho ManageEngine Desktop Central est un utilitaire de gestion largement utilisé par les administrateurs pour le déploiement automatique de logiciels et la résolution de problèmes à distance sur l’ensemble du réseau.
Le 3 décembre 2021, Zoho a annoncé la présence de la vulnérabilité zero-day critique tout en proposant le correctif et en fournissant les étapes d’atténuation. Selon Zoho, la faille affecte ses produits ManageEngine Desktop Central et Desktop Central MSP, permettant aux adversaires d’obtenir un accès non autorisé à l’installation et d’envoyer une demande spécialement conçue entraînant une exécution de code à distance sur les serveurs Desktop Central MSP.
Une recherche rapide sur Shodan montre plus de 3 200 installations de ManageEngine Desktop Central vulnérables aux attaques. Étant donné que les détails de la faille ont été rendus publics, les pirates exploitent activement la faille de Zoho ManageEngine dans la nature.
CVE-2021-44515 est la troisième vulnérabilité en l’espace de quatre mois à être activement exploitée par des adversaires. Elle forme un trio redoutable avec l’exploit zero-day ADSelfService (CVE-2021-40539) et une faille critique de ServiceDesk (CVE-2021-44077) exploitées par plusieurs acteurs parrainés par l’État pour des intrusions tout au long d’août-octobre 2021. De plus, la semaine dernière, le CISA a émis une alerte concernant CVE-2021-44077 informant que des acteurs APT ont utilisé la faille pour déposer des web shells et réaliser un grand nombre de routines de post-exploitation au cours de la campagne “TitledTemple”.
Détection et Atténuation de CVE-2021-44515
Zoho a publié le CVE-2021-44515 : Avis de Sécurité où ils introduisent l’Outil de Détection d’Exploitation permettant aux organisations d’identifier si leur installation a été affectée par la vulnérabilité de contournement d’authentification. L’Avis de Sécurité couvre également le plan de réponse à l’incident suivi de recommandations sur la manière d’agir pour minimiser les risques une fois affecté par la vulnérabilité.
Pour aider les organisations à mieux protéger leur infrastructure, l’équipe SOC Prime a récemment développé la règle dédiée basée sur Sigma permettant aux professionnels de la sécurité d’évaluer les tentatives d’exploitation de cette vulnérabilité zero-day notoire dans les produits Zoho ManageEngine. Les équipes de sécurité peuvent télécharger la règle depuis la plateforme Detection as Code de SOC Prime :
Modèles possibles d’exploitation de Zoho Desktop Central [CVE-2021-44515] (via file_event)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, et Open Distro.
La règle est alignée avec la dernière version v.10 du framework MITRE ATT&CK, traitant la tactique d’accès initial avec Exploit Public-Facing Application comme technique principale (T1190).® framework v.10 addressing the Initial Access tactic with Exploit Public-Facing Application as the main technique (T1190).
Aussi, les professionnels de la sécurité peuvent identifier l’activité malveillante associée à l’exploit zero-day ADSelfService (CVE-2021-40539) en téléchargeant un lot de contenu sélectionné disponible dans le référentiel Marketplace de Détection des Menaces propulsé par la plateforme SOC Prime.
Rejoignez la plateforme Detection as Code de SOC Prime gratuitement pour rechercher les dernières menaces dans votre environnement SIEM ou XDR, améliorer votre couverture des menaces en accédant au contenu le plus pertinent aligné avec la matrice MITRE ATT&CK, et dans l’ensemble, renforcer les capacités de défense cybernétique de l’organisation. Vous êtes un auteur de contenu ? Exploitez la puissance de la plus grande communauté de défense cybernétique au monde en rejoignant le programme SOC Prime Threat Bounty, où les chercheurs peuvent monétiser leur propre contenu de détection.
