CVE-2021-44515の検知:Zoho ManageEngine Desktop Centralのゼロデイ脆弱性
目次:
警戒を怠らないでください!脅威アクターは、Zoho ManageEngine Desktop Central 製品の新しいゼロデイ脆弱性 (CVE-2021-44515) を利用して世界中の企業を攻撃しています。この欠陥は重大な認証バイパス問題であり、ハッカーが不正アクセスを取得し、脆弱なサーバー上で任意のコードを実行することを可能にします。
CVE-2021-44515 の説明
Zoho ManageEngine Desktop Central は、管理者が全ネットワークに対して自動ソフトウェア展開やリモートトラブルシューティングを行うために使用される広く普及している管理ユーティリティです。
2021年12月3日にZohoは、この重大なゼロデイの存在を発表し、パッチを提供し、攻撃の軽減手順を提供しました。Zohoによれば、この欠陥はManageEngine Desktop CentralとDesktop Central MSPに影響を与え、攻撃者がインストールに不正アクセスし、特別に構築されたリクエストを送信してDesktop Central MSPサーバー上でリモートコード実行を引き起こすことができます。
簡単なShodan検索 では 3,200以上のManageEngine Desktop Centralのインストールが攻撃に対して脆弱であることが示されています。この欠陥の詳細が公開されているため、ハッカーは野放しにZoho ManageEngine のバグを活用しています。
CVE-2021-44515 は、4か月の間にアクティブに悪用されている3番目の脆弱性です。ADSelfServiceゼロデイのエクスプロイト(CVE-2021-40539)や、2021年8月から10月にかけて複数の国家支援アクターが侵入に利用した重要なServiceDeskの欠陥(CVE-2021-44077)とともに強力なトリオを形成しています。さらに、先週CISAは アラートを発行し 、APTアクターがこのバグを武器にしてウェブシェルを配置し、その過程で広範囲にわたる事後悪用のルーチンを実行したことを知らせています。 「TitledTemple」キャンペーン.
CVE-2021-44515 の検出と軽減
Zohoは CVE-2021-44515: セキュリティ勧告 を発行し、組織が認証バイパスの脆弱性によって影響を受けたかどうかを特定するためのエクスプロイト検出ツールを紹介しています。このセキュリティアドバイザリーには、脅威への対応計画および脆弱性によって影響を受けた際のリスクを最小化するための推奨事項も含まれています。
インフラストラクチャをより安全に保護するために、SOC Prime Teamは最近、悪名高いゼロデイ脆弱性の利用を評価するために、専用のSigmaベースのルールを開発しました。このルールは、SOC PrimeのDetection as Codeプラットフォームからダウンロードできます。
可能性のあるZoho Desktop Central [CVE-2021-44515] エクスプロイトパターン(file_event 経由)
この検出は、次のSIEM、EDR & XDR プラットフォームに対して翻訳されています:Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Open Distro。
このルールは、MITRE ATT&CKの最新の® フレームワークv.10に準拠し、Exploit Public-Facing Applicationをメインの技術(T1190)とするInitial Access の戦術に取り組んでいます。
また、セキュリティ専門家は、ADSelfServiceゼロデイのエクスプロイト(CVE-2021-40539)に関連する悪意のある活動を特定するために、 キュレーションされたコンテンツのバッチ をSOC PrimeのプラットフォームのThreat Detection Marketplace リポジトリからダウンロードできます。
参加する SOC PrimeのDetection as Code プラットフォーム に無料で登録すると、SIEMまたはXDR環境で最新の脅威を検索し、MITRE ATT&CKマトリックスに整合された最も関連性の高いコンテンツを入手することで脅威のカバレッジを向上させ、組織のサイバー防御能力を全体的に強化できます。あなたはコンテンツクリエイターですか?世界最大のサイバー防御コミュニティの力を活用するために SOC Prime Threat Bounty プログラムに参加し、自分の検出コンテンツを収益化できます。
