Détection et Atténuation des Vulnérabilités de Zoho ManageEngine ServiceDesk Plus

Détection d’exploit pour Zoho ManageEngine ServiceDesk Plus

Les chercheurs en sécurité avertissent que les hackers continuent d’exploiter la vulnérabilité de Zoho ManageEngine ServiceDesk Plus (SDP) dans la nature. Malgré le correctif publié au premier trimestre 2019, de nombreuses instances restent vulnérables, permettant aux adversaires de déployer des malware de shell web et de compromettre les réseaux ciblés.

Analyse de CVE-2019-8394

La vulnérabilité (CVE-2019–8394) a été divulguée le 18 février 2019 et immédiatement exploitée par des acteurs malveillants pour avantage leurs capacités malveillantes. Le bug se produit en raison de la désinfection insuffisante des entrées fournies par l’utilisateur dans l’application lors du traitement d’une requête SMTP conçue. En conséquence, un attaquant pourrait utiliser la faille pour télécharger un contenu de shell web sur le serveur et effectuer une exécution de code. The routine d’exploitation of la faille part du principe que les fraudeurs doivent acquérir des permissions minimales sur le réseau, par exemple via des identifiants invités. De plus, l’acteur authentifié pourrait télécharger un shell web et exécuter des commandes système arbitraires, généralement envoyées sur HTTPS. En fait, le shell web malveillant agit comme une porte dérobée et pourrait rediriger les hackers vers d’autres réseaux pour étendre l’ampleur de la compromission. Selon le communiqué conjoint de la National Security Agency (NSA) des États-Unis et de la Direction des signals australiens (ASD) rapport, les adversaires utilisent des malwares de shell web de manière courante pour effectuer des intrusions dans le réseau et obtenir un accès persistant. Par conséquent, la faille CVE-2019–8394 devient l’une des principales exploitations pour ce type d’attaques.

Actions de détection et d’atténuation

La vulnérabilité affecte Zoho ManageEngine ServiceDesk Plus (SDP) avant le build 10.0 build 10012, assurez-vous donc d’avoir mis à niveau votre logiciel vers la version corrigée. Vous pourriez également envisager l’ avis développé par ASD et NSA pour atténuer la menace associée au malware de shell web. 

Pour obtenir le contenu SOC le plus pertinent pour CVE-2019–8394, nous vous encourageons à vous abonner au Threat Detection Marketplace. Consultez la dernière règle Sigma de Sittikorn Sangrattanapitak pour la détection proactive de l’exploitation :

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

La règle a des traductions pour les plateformes suivantes :

SIEM : QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness

NTA : Corelight

MITRE ATT&CK :

Tactiques : Persistance

Technique : Composant logiciel serveur (T1505)

Le Threat Detection Marketplace de SOC Prime contient plus de 81 000+ contenus SOC applicables à la majorité des solutions SIEM et EDR. Obtenez un abonnement gratuit au Threat Detection Marketplace et découvrez le contenu le plus pertinent étiqueté avec CVE particulier, TTPs utilisés par les groupes APT, et plusieurs paramètres MITRE ATT&CK®. Vous aimez coder et souhaitez rendre la communauté cyber plus sûre ? N’hésitez pas à rejoindre notre Threat Bounty Program et aidez-nous à élargir les horizons dans la détection des menaces cyber.