Rilevare CVE-2021-44515: vulnerabilità Zero-Day in Zoho ManageEngine Desktop Central
Indice:
Rimani allerta! Gli attori delle minacce stanno sfruttando attivamente la nuova vulnerabilità zero-day (CVE-2021-44515) nei prodotti Zoho ManageEngine Desktop Central per attaccare le aziende a livello mondiale. La falla è un problema critico di bypass dell’autenticazione che consente agli hacker di ottenere l’accesso non autorizzato ed eseguire codice arbitrario sui server vulnerabili.
Descrizione CVE-2021-44515
Zoho ManageEngine Desktop Central è un’utility di gestione ampiamente utilizzata dagli amministratori per il deployment automatico del software e la risoluzione dei problemi da remoto sull’intera rete.
Il 3 dicembre 2021, Zoho ha annunciato la presenza della vulnerabilità zero-day critica insieme al rilascio della patch e alla fornitura dei passi di mitigazione. Secondo Zoho, la falla colpisce il suo Manage Engine Desktop Central e Desktop Central MSP, consentendo agli avversari di ottenere l’accesso non autorizzato all’installazione e inviare una richiesta appositamente creata che risulta nell’esecuzione remota di codice sui server Desktop Central MSP.
Una rapida ricerca su Shodan mostra oltre 3.200 installazioni di ManageEngine Desktop Central vulnerabili agli attacchi. Poiché i dettagli della falla sono stati resi pubblici, gli hacker stanno sfruttando attivamente il bug di Zoho ManageEngine nel selvaggio.
CVE-2021-44515 è la terza vulnerabilità in un arco di quattro mesi ad essere sfruttata attivamente dagli avversari. Forma un trio letale con lo zero-day di ADSelfService (CVE-2021-40539) e una falla critica di ServiceDesk (CVE-2021-44077) sfruttata da più attori sponsorizzati dallo stato per intrusioni tra agosto e ottobre 2021. Inoltre, la scorsa settimana, CISA ha emesso un avviso per CVE-2021-44077 informando che gli attori APT hanno armato il bug per distribuire web shell e svolgere una grande quantità di rutine post-sfruttamento nel corso della campagna “TitledTemple”.
Rilevamento e Mitigazione CVE-2021-44515
Zoho ha emesso l’ CVE-2021-44515: Avviso di Sicurezza in cui introducono lo strumento di rilevamento degli exploit che consente alle organizzazioni di identificare se la loro installazione è stata colpita dalla vulnerabilità di bypass dell’autenticazione. L’avviso di sicurezza copre anche il piano di risposta all’incidente seguito dalle raccomandazioni su come agire per minimizzare i rischi una volta colpiti dalla vulnerabilità.
Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, il team SOC Prime ha recentemente sviluppato la regola dedicata basata su Sigma che consente ai professionisti della sicurezza di valutare i tentativi di sfruttare questa nota vulnerabilità zero-day nei prodotti Zoho ManageEngine. I team di sicurezza possono scaricare la regola dalla piattaforma Detection as Code di SOC Prime:
Possibili Modelli di Sfruttamento Zoho Desktop Central [CVE-2021-44515] (tramite file_event)
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, e Open Distro.
La regola è allineata con il più recente framework MITRE ATT&CK® versione 10, affrontando la tattica dell’Accesso Iniziale con Exploit Applicazione esposta come tecnica principale (T1190).
Inoltre, i professionisti della sicurezza possono identificare l’attività dannosa associata allo sfruttamento zero-day di ADSelfService (CVE-2021-40539) scaricando un batch di contenuti curati disponibili nel repository Threat Detection Marketplace alimentato dalla piattaforma di SOC Prime.
Unisciti alla piattaforma Detection as Code di SOC Prime gratuitamente per cercare le minacce più recenti nel tuo ambiente SIEM o XDR, migliorare la copertura delle minacce raggiungendo il contenuto più rilevante allineato con la matrice MITRE ATT&CK, e nel complesso, potenziare le capacità di difesa informatica dell’organizzazione. Sei un autore di contenuti? Sfrutta la potenza della comunità di difesa informatica più grande del mondo unendoti al programma SOC Prime Threat Bounty, dove i ricercatori possono monetizzare i loro stessi contenuti di rilevamento.
