CVE-2022-28219 検出：Zoho ManageEngine ADAudit Plus の重大な RCE 脆弱性

ZohoのManageEngineは、コスト効果の高いネットワーク管理フレームワークを運営しており、世界中の40,000以上の企業で利用されています。ソフトウェアの人気とその世界的な利用のため、Zohoの製品で検出されたサイバー脅威は、かつて発生した 重大なゼロデイ脆弱性 のために、数千の企業に深刻な影響を及ぼす可能性があります。

2022年6月30日、サイバーセキュリティ研究者は、企業組織がActive Directory (AD) の環境における変更を追跡するために利用しているZohoのコンプライアンストール、ManageEngine ADAudit Plusに影響を与えるリモートコード実行 (RCE) の脆弱性を明らかにしました。この 重大な脆弱性 はCVE-2022-28219として追跡されており、攻撃者がADの認証情報に優先的にアクセスし、機密データを漏洩できるようにします。

CVE-2022-28219脆弱性の検出

CVE-2022-28219の悪用試行によって生じるリスクを最小限に抑えるために、SOC Primeチームは専用のSigmaルールのセットを最近リリースしました。適切なタグ #CVE-2022-28219:

を使用することで、CVE-2022-28219の悪用試行を検出するためのSigmaルール

にすぐにアクセスできます。この脆弱性悪用を事前に検出するために、上記のコンテンツにアクセスするには、SOC Primeのプラットフォームにサインアップするかログインしてください。

The ウェブ要求内の不審なWindowsパス (ウェブ経由) Sigmaルールは、ウェブ要求を利用して信頼されていないJavaの逆シリアル化とコマンド実行を試みる敵意ある試行を検出することができます。

上記リストの他の検出、 可能な脆弱なADAuditエンドポイントの悪用 CVE-2022-28219 (ウェブ経由)は、CVE-2022-28219に関連する脆弱なADAuditエンドポイントの悪用パターンを検出します。

両方の Sigmaルール は、業界トップのSIEM、EDR、XDRソリューションに瞬時に変換でき、拡張可能なコンテンツ配信のためにカスタムデータスキーマに調整されます。脅威の可視性を高めるため、専用のSigmaルールは MITRE ATT&CK® フレームワークに合わせており、初期アクセスの戦術を公にアクセス可能なアプリケーションの悪用 (T1190) に関連付けています。 脅威ハンター、サイバー脅威インテリジェンスの専門家、およびその他の情報セキュリティの実務者も、上記のSigmaルールを適用して

Threat Hunters, Cyber Threat Intelligence specialists, and other InfoSec practitioners can also apply the above-mentioned Sigma rules to CVE-2022-28219に関連する脅威を即座に検索 することができます。このためにSOC PrimeのQuick Huntモジュールを使用します。

SOC PrimeのDetection as Codeプラットフォームは、ZohoのManageEngine製品に影響を与えるサイバー脅威に対する防御を積極的に行うために、幅広い検出アルゴリズムのコレクションをキュレートしています。 下の 「検出＆ハント」 — ボタンをクリックすることで、専用の検出ルールとハンティングクエリの包括的なリストにアクセスできます。また、サイバーセキュリティの専門家は、SOC Primeを利用してCVE-2022-28219に関連するコンテキスト情報を深く探求したり、MITRE ATT&CKの参照、CVEの説明、関連するCTIリンクなどを一カ所で登録不要で探索できます。

下の 脅威コンテキストを探る

ManageEngine ADAudit Plus欠陥の分析と緩和

The Horizon3.aiの調査 は、ZohoのManageEngine ADAudit Plusコンプライアンストールに影響を与える未認証のRCE脆弱性を詳述しています。研究者は、この重大な欠陥が、信頼されていないJavaデシリアライゼーション、パストラバーサル、ブラインドXML外部エンティティ (XXE) インジェクションを含む一連のセキュリティの不備から発生していると指摘します。もし悪用された場合、このバグは敵が脆弱なインスタンスでリモートでコードを実行することを可能にし、場合によってはドメイン管理者アカウントを侵害する可能性があります。

概念実証のエクスプロイトは、公開されています GitHubで 利用可能です。そのバグの性質と潜在的な影響から、ランサムウェアのオペレーターや初期アクセスブローカーにとって高い関心の対象となっています。

研究者は、すべてのADAudit Plusの企業ユーザーに対して、インフラストラクチャに対する攻撃を防ぐために、ビルド7060にインスタンスをアップグレードするように促しています。

組織のサイバーセキュリティの態勢を強化するために、25+のSIEM、XDR、EDRプラットフォームに対応した世界最大のSigmaルールのコレクションへのアクセスを SOC PrimeのDetection as Codeプラットフォームで行ってください。グローバルなサイバーセキュリティコミュニティが新たな脅威に対抗する助けとなりながら、脅威ハンティングと検出エンジニアリングのスキルを磨きたいですか？私たちの 脅威バウンティプログラムに参加し、あなたのSigmaルールをSOC Primeのプラットフォームで公開し、その貢献に対して定期的な報酬を受け取りましょう！