Rilevamento e Mitigazione delle Vulnerabilità in Zoho ManageEngine ServiceDesk Plus

Rilevamento dell’Exploit di Zoho ManageEngine ServiceDesk Plus

I ricercatori di sicurezza avvertono che gli hacker continuano a sfruttare la vulnerabilità di Zoho ManageEngine ServiceDesk Plus (SDP) in natura. Nonostante la patch rilasciata nel primo trimestre del 2019, molti casi rimangono vulnerabili, consentendo agli avversari di distribuire malware web shell e compromettere le reti mirate.

Analisi CVE-2019-8394

La vulnerabilità (CVE-2019–8394) è stata divulgata il 18 febbraio 2019 ed è stata immediatamente sfruttata dagli attori delle minacce per avvantaggiare le loro capacità malevole. Il bug si verifica a causa della pulizia insufficiente degli input forniti dagli utenti nell’app durante la gestione di una richiesta SMTP creata. Di conseguenza, un attaccante potrebbe utilizzare il difetto per caricare un contenuto web shell sul server ed eseguire l’esecuzione di codice. The routine di sfruttamento of il difetto presuppone che i truffatori debbano acquisire autorizzazioni minime sulla rete, ad esempio tramite credenziali ospite. Inoltre, l’attore autenticato potrebbe caricare una web shell ed eseguire comandi di sistema arbitrari, generalmente consegnati tramite HTTPS. Infatti, la web shell dannosa agisce come una porta sul retro e potrebbe reindirizzare gli hacker ad altre reti per ampliare la scala del compromesso. Secondo il parere congiunto della U.S. National Security Agency (NSA) e della Australian Signals Directorate (ASD) rapporto, gli avversari utilizzano il malware web shell su basi comuni per effettuare intrusioni nella rete e ottenere accesso persistente. Di conseguenza, il difetto CVE-2019–8394 diventa uno dei principali exploit per questo tipo di attacchi.

Azioni di Rilevamento e Mitigazione

La vulnerabilità interessa Zoho ManageEngine ServiceDesk Plus (SDP) prima della versione 10.0 build 10012, quindi assicurati di aver aggiornato il software alla versione patchata. Inoltre, potresti considerare il consultivo sviluppato da ASD e NSA per mitigare la minaccia associata al malware web shell. 

Per ottenere i contenuti SOC più rilevanti per CVE-2019–8394 ti incoraggiamo a iscriverti al Threat Detection Marketplace. Controlla la regola Sigma più recente da Sittikorn Sangrattanapitak per il rilevamento proattivo dell’exploit:

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness

NTA: Corelight

MITRE ATT&CK:

Tattiche: Persistenza

Tecnica: Componente Software del Server (T1505)

SOC Prime Threat Detection Marketplace contiene oltre 81.000+ elementi di contenuto SOC applicabili alla maggior parte delle soluzioni SIEM e EDR. Ottieni un abbonamento gratuito a Threat Detection Marketplace e scopri il contenuto curato più rilevante etichettato con particolare CVE, TTP utilizzati dai gruppi APT e molteplici parametri MITRE ATT&CK®. Ti piace programmare e vuoi rendere la comunità informatica più sicura? Non esitare a unirti al nostro Threat Bounty Program e aiutaci ad espandere gli orizzonti nel rilevamento delle minacce informatiche.