Zoho ManageEngine ServiceDesk Plusの脆弱性検出と緩和

Zoho ManageEngine ServiceDesk Plus の脆弱性検出

セキュリティ研究者は、ハッカーがZoho ManageEngine ServiceDesk Plus（SDP）の脆弱性を引き続き悪用していると警告しています。2019年第1四半期にパッチがリリースされたにもかかわらず、多くのインスタンスが脆弱なままであり、攻撃者がウェブシェルマルウェアを展開し、目的のネットワークを侵害することを可能にしています。

CVE-2019-8394 分析

この脆弱性（CVE-2019-8394）は2019年2月18日に公開され、すぐに脅威をもたらすアクターによって悪用され、悪意のある能力を強化しました。このバグは、クラフトされたSMTPリクエストを処理する際に、アプリでユーザーが供給した入力の洗浄が不十分なため発生します。その結果、攻撃者はこの不具合を利用してウェブシェルコンテンツをサーバーにアップロードし、コードを実行できる可能性があります。 The 悪用ルーチン of この欠陥は、詐欺師がネットワークに対して最低限の権限を取得する必要があると想定しています。例えば、ゲストの資格証明を介して行います。さらに、認証されたアクターはウェブシェルをアップロードし、一般にHTTPS経由で届けられた任意のシステムコマンドを実行することができるかもしれません。実際、この悪意のウェブシェルはバックドアとして機能し、ハッカーを他のネットワークにリルートして、妥協の規模を拡大する可能性があります。 米国国家安全保障局（NSA）とオーストラリア信号局（ASD）の共同 報告書, によると、敵対者はウェブシェルマルウェアを一般的な場面でネットワーク侵入を行い、永続的なアクセスを達成するために使用します。したがって、CVE-2019-8394の欠陥は、そのような攻撃に対するトップの悪用の1つとなっています。

検出と緩和のアクション

この脆弱性は、バージョン10.0ビルド10012未満のZoho ManageEngine ServiceDesk Plus（SDP）に影響を与えるので、パッチされたバージョンにソフトウェアをアップグレードしたことを確認してください。また、 助言 ASDとNSAによって開発されたウェブシェルマルウェアに関連した脅威を軽減するために考慮することができます。 

CVE-2019-8394に関連する最も関連性の高いSOCコンテンツを取得するため、Threat Detection Marketplaceに登録することをお勧めします。最新のSigmaルールをチェックしてください。 Sittikorn Sangrattanapitak による、事前対応的な検出に向けたエクスプロイト：

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

このルールには、以下のプラットフォームの翻訳があります：

SIEM：QRadar、Splunk、Sumo Logic、LogPoint、RSA NetWitness

NTA：Corelight

MITRE ATT&CK：

戦術：永続性

技法：サーバーソフトウェアコンポーネント（T1505）

SOC Prime Threat Detection Marketplaceには、81,000以上のSOCコンテンツ項目が含まれており、ほとんどのSIEMとEDRソリューションに適用可能です。無料のサブスクリプションを取得して、 Threat Detection Marketplace を発見し、特定のCVE、APTグループによって使用されるTTP、および複数のMITRE ATT&CK®パラメーターでタグ付けされた最も関連性の高いコンテンツを発見してください。コーディングを楽しみながら、サイバーコミュニティをより安全にしたいですか？ためらわずに、我々の Threat Bounty Program に参加し、サイバー脅威検出の境界を広げる手助けをしてください。