CVE-2022-28219 탐지: Zoho ManageEngine ADAudit Plus의 심각한 RCE 취약점

Zoho의 ManageEngine은 전 세계 40,000개 이상의 기업에서 활용되는 비용 효율적인 네트워크 관리 프레임워크를 운영하고 있습니다. 소프트웨어의 인기로 인해 Zoho 제품에서 발견된 사이버 위협은 손상된 수천 개의 비즈니스에 심각한 영향을 미칠 수 있습니다. 이는 이전에 치명적인 제로데이 취약점 ManageEngine Desktop Central 제품에서 발생한 바 있습니다. 

2022년 6월 30일 사이버 보안 연구원들은 ManageEngine ADAudit Plus에 영향을 미치는 원격 코드 실행(RCE) 취약점을 공개했습니다. 이 도구는 기업 조직에서 액티브 디렉토리(AD) 환경의 변경 사항을 추적하기 위해 활용되는 Zoho의 컴플라이언스 도구입니다. 이 심각한 취약점 CVE-2022-28219로 추적되며, 공격자들이 AD 자격 증명에 대한 권한 있는 액세스를 획득하고 민감한 데이터를 유출할 수 있도록 합니다. 

CVE-2022-28219 취약점 탐지

CVE-2022-28219 착취 시도로 인한 위험을 최소화하기 위해, SOC Prime 팀은 최근 적절한 태그를 사용하여 즉시 접근할 수 있는 전용 Sigma 규칙 세트를 발표했습니다. #CVE-2022-28219:

CVE-2022-28219 착취 시도를 탐지하는 Sigma 규칙

CVE-2022-28219 취약점 착취의 사전 탐지를 위한 위에 언급된 콘텐츠에 액세스하려면 SOC Prime 플랫폼에 가입하거나 로그인하십시오. 

The 웹 요청에서 의심스러운 Windows 경로 (via web) Sigma 규칙은 웹 요청을 사용하여 신뢰할 수 없는 자바 역직렬화 및 명령 실행을 유발하려는 적수 시도를 탐지할 수 있습니다.

위 목록에서 또 다른 탐지 규칙은 가능한 취약한 ADAudit 엔드포인트 착취 CVE-2022-28219 (via web), CVE-2022-28219과 관련하여 취약한 ADAudit 엔드포인트 착취 패턴을 탐지합니다.

모두 Sigma 규칙은 업계 최고의 SIEM, EDR 및 XDR 솔루션으로 즉시 변환될 수 있고 맞춤형 데이터 스키마에 맞춰 조정되어 확장 가능한 콘텐츠 배포에 적합합니다. 위협 가시성을 높이기 위해, 전용 Sigma 규칙은 MITRE ATT&CK® 프레임워크와 일치하며 초기 접근 전술에서 공개 대면 애플리케이션 착취(T1190)를 주된 기술로 다룹니다.

위협 사냥꾼, 사이버 위협 인텔리전스 전문가 및 기타 정보보안 전문가들도 위에 언급된 Sigma 규칙을 적용하여 CVE-2022-28219와 관련된 위협을 즉시 탐색할 수 있습니다 SOC Prime의 Quick Hunt 모듈을 사용하여.

SOC Prime의 Detection as Code 플랫폼은 Zoho의 ManageEngine 제품에 영향을 미치는 사이버 위협에 적극적으로 대처하기 위해 폭넓은 탐지 알고리즘 컬렉션을 큐레이션합니다. 아래의 탐지 & 사냥 버튼을 클릭하여 전용 탐지 규칙 및 탐지 쿼리의 포괄적인 목록에 접근하십시오. 또는 사이버 보안 전문가들은 SOC Prime을 방문하여 CVE-2022-28219와 관련된 맥락 정보를 심층적으로 탐구하고, MITRE ATT&CK 참조, CVE 설명, 관련 CTI 링크 등을 확인할 수 있습니다 — 등록 없이 한 곳에서 모두.

탐지 & 사냥 위협 맥락 탐험

ManageEngine ADAudit Plus 결함 분석 및 완화

The Horizon3.ai의 조사 는 Zoho ManageEngine ADAudit Plus 컴플라이언스 도구에 영향을 미치는 인증되지 않은 RCE 취약점을 자세히 설명합니다. 연구원들은 이 심각한 결함이 신뢰할 수 없는 자바 역직렬화, 경로 탐색, 블라인드 XML 외부 엔티티(XXE) 주입을 포함한 일련의 보안 격차에서 비롯된 것이라고 언급합니다. 착취할 경우, 버그는 적들이 취약한 인스턴스에서 원격으로 코드를 실행하고, 경우에 따라 도메인 관리자 계정을 손상시킬 수 있게 합니다. 

실행 가능한 개념 증명이 공개적으로 GitHub에서 제공됩니다. 버그의 특성과 잠재적 영향을 감안할 때, 이는 랜섬웨어 운영자 및 초기 접근 중개자에게 높은 관심의 대상이 됩니다.    via GitHub. The nature of the bug and potential effect make it a point of high interest for ransomware operators and initial access brokers.   

연구원들은 ADAudit Plus의 모든 엔터프라이즈 사용자에게 인프라에 대한 공격을 방지하기 위해 인스턴스를 빌드 7060으로 업그레이드할 것을 권장합니다. 

귀사의 사이버 보안 자세를 강화하기 위해 25개 이상의 SIEM, XDR 및 EDR 플랫폼과 호환되는 세계 최대의 Sigma 규칙 컬렉션에 SOC Prime의 Detection as Code 플랫폼을 통해 접근하십시오. 신흥 위협에 맞서 전 세계 사이버보안 커뮤니티를 지원하고자 하며 Threat Hunting 및 Detection Engineering 기술을 연마하고 싶습니까? 저희의 위협 바운티 프로그램에 참여하여 SOC Prime 플랫폼에 자신만의 Sigma 규칙을 게시하고 기여에 대한 반복적인 보상을 받으십시오!