Rilevamento CVE-2022-28219: Vulnerabilità RCE Critica in Zoho ManageEngine ADAudit Plus
Indice:
Zoho’s ManageEngine opera strutture di gestione di rete economiche sfruttate da oltre 40.000 imprese in tutto il mondo. A causa della popolarità del software e del suo ampio utilizzo a livello globale, le minacce informatiche rilevate nei prodotti di Zoho potrebbero avere un grave impatto su migliaia di aziende compromesse, come accaduto in precedenza con la vulnerabilità critica zero-day nei prodotti ManageEngine Desktop Central.
Il 30 giugno 2022, i ricercatori di cybersecurity hanno svelato una vulnerabilità di esecuzione di codice remoto (RCE) che colpisce ManageEngine ADAudit Plus, lo strumento di conformità di Zoho utilizzato dalle organizzazioni aziendali per tenere traccia delle modifiche nell’ambiente di Active Directory (AD). Questa vulnerabilità critica tracciata come CVE-2022-28219 consente agli attaccanti di ottenere l’accesso privilegiato alle credenziali AD ed esfiltrare dati sensibili.
Rileva la vulnerabilità CVE-2022-28219
Per aiutare le organizzazioni a minimizzare i rischi causati dai tentativi di sfruttamento di CVE-2022-28219, il team di SOC Prime ha recentemente rilasciato un set di regole Sigma dedicate che possono essere immediatamente raggiunte utilizzando il tag appropriato #CVE-2022-28219:
Regole Sigma per rilevare tentativi di sfruttamento di CVE-2022-28219
Per accedere ai contenuti sopra menzionati per il rilevamento proattivo dello sfruttamento della vulnerabilità CVE-2022-28219, assicurati di registrarti o accedere alla piattaforma di SOC Prime.
The Percorsi Windows sospetti in richiesta web (via web) La regola Sigma consente di rilevare tentativi avversari di attivare deserializzazione Java non attendibile ed esecuzione di comandi utilizzando una richiesta web, che contiene un percorso del sistema operativo.
Un’altra rilevazione dall’elenco sopra, Possibile sfruttamento della vulnerabilità dell’endpoint ADAudit CVE-2022-28219 (via web), rileva schemi di sfruttamento dell’endpoint ADAudit vulnerabili relativi a CVE-2022-28219.
Entrambi le regole Sigma possono essere immediatamente convertite nelle soluzioni leader del settore SIEM, EDR e XDR e adattate a schemi di dati personalizzati per distribuzioni di contenuti scalabili. Per una maggiore visibilità alle minacce, le regole Sigma dedicate sono allineate con il MITRE ATT&CK® framework indirizzando la tattica di Accesso Iniziale con l’Exploitation di Applicazioni Accessibili al Pubblico (T1190) come tecnica principale.
I cacciatori di minacce, gli specialisti di Cyber Threat Intelligence e altri professionisti InfoSec possono anche applicare le regole Sigma sopra menzionate per cercare istantaneamente minacce associate a CVE-2022-28219 utilizzando il modulo Quick Hunt di SOC Prime.
La piattaforma Detection as Code di SOC Prime cura una vasta raccolta di algoritmi di rilevamento per difendersi proattivamente dalle minacce informatiche che colpiscono i prodotti Zoho’s ManageEngine. Clicca il pulsante Rileva & Caccia qui sotto per accedere all’elenco completo delle regole di rilevamento dedicate e delle query di caccia. In alternativa, gli esperti di cybersecurity possono esplorare SOC Prime per approfondire le informazioni contestuali relative a CVE-2022-28219, esplorare i riferimenti MITRE ATT&CK, le descrizioni CVE, i collegamenti CTI rilevanti e altro ancora — tutto in un unico luogo e senza registrazione.
pulsante Rileva & Caccia Esplora il contesto delle minacce
Analisi e mitigazione del difetto di ManageEngine ADAudit Plus
The indagine di Horizon3.ai dettaglia la vulnerabilità RCE senza autenticazione che colpisce lo strumento di conformità Zoho ManageEngine ADAudit Plus. I ricercatori notano che questo difetto critico deriva da un insieme di lacune di sicurezza, tra cui deserializzazione Java non attendibile, attraversamento del percorso e un’iniezione di Entità XML Esterne (XXE) cieca. Se sfruttato, il bug consente agli avversari di eseguire codice in remoto su istanze vulnerabili e, in alcuni casi, compromettere gli account di amministratore di dominio.
Il proof-of-concept exploit è pubblicamente disponibile su GitHub. La natura del bug e il potenziale effetto lo rendono un punto di grande interesse per gli operatori di ransomware e i broker di accesso iniziale.
I ricercatori esortano tutti gli utenti aziendali di ADAudit Plus ad aggiornare le loro istanze alla build 7060 per prevenire attacchi alla struttura.
Per rafforzare la postura di cybersecurity della tua organizzazione, accedi alla più grande raccolta mondiale di regole Sigma compatibili con oltre 25 piattaforme SIEM, XDR & EDR tramite la piattaforma Detection as Code di SOC Prime. Desideroso di aiutare la comunità globale della cybersecurity a resistere alle minacce emergenti mentre perfezioni le tue competenze di Threat Hunting e Detection Engineering? Unisciti al nostro Threat Bounty Program, pubblica le tue regole Sigma sulla piattaforma di SOC Prime e ricevi pagamenti ricorrenti per il tuo contributo!
