CVE-2021-44515 탐지: Zoho ManageEngine Desktop Central의 제로데이
목차:
경계하십시오! 위협 행위자들이 Zoho ManageEngine 데스크탑 중앙 제품의 새로운 제로데이 취약점(CVE-2021-44515)을 적극적으로 활용하여 전 세계 기업을 공격하고 있습니다. 이 결함은 취약한 서버에서 해커가 무단으로 접근하고 임의 코드를 실행할 수 있도록 하는 중요한 인증 우회 문제입니다.
CVE-2021-44515 설명
Zoho ManageEngine 데스크탑 중앙은 자동화된 소프트웨어 배포와 전체 네트워크에 걸친 원격 문제 해결을 위해 관리자가 사용하는 널리 사용되는 관리 유틸리티입니다.
2021년 12월 3일, Zoho는 중요한 제로데이의 존재를 발표하며 패치를 배포하고 완화 조치를 제공했습니다. Zoho에 따르면, 이 결함은 Manage Engine 데스크탑 중앙과 데스크탑 중앙 MSP에 영향을 미치며, 공격자들이 설치에 무단 접근을 얻고, 특별히 조작된 요청을 보내어 데스크탑 중앙 MSP 서버에서 원격 코드 실행을 초래합니다.
빠른 Shodan 검색 결과 3,200개 이상의 ManageEngine 데스크탑 중앙 설치가 공격에 취약하다는 것을 보여줍니다. 결함의 세부 사항이 공개됨에 따라 해커들은 Zoho ManageEngine 버그 익스플로잇을 활발하게 이용하고 있습니다.
CVE-2021-44515는 네 달 동안 공격자들에 의해 적극적으로 악용된 세 번째 취약점입니다. 이는 ADSelfService 제로데이 익스플로잇(CVE-2021-40539)과 다수의 국가 지원 행위자들이 2021년 8월부터 10월까지 침투를 위해 악용한 중요한 ServiceDesk 결함(CVE-2021-44077)과 함께 치명적인 조합을 이룹니다. 게다가, 지난주 CISA는 CVE-2021-44077에 대한 경고를 발행하며 APT 행위자들이 이 버그를 무기화하여 웹 셸을 설치하고 “TitledTemple” 캠페인 동안 많은 양의 사후 익스플로잇 루틴을 수행하였다고 밝혔습니다. “TitledTemple” campaign.
CVE-2021-44515 탐지 및 완화
Zoho는 CVE-2021-44515: 보안 권고 를 발표하며 조직들이 인증 우회 취약점에 영향을 받았는지 식별할 수 있도록 Exploit Detection Tool을 소개했습니다. 보안 권고에는 사건 대응 계획과 취약점에 영향을 받았을 때 리스크를 최소화하기 위한 권장 조치가 포함되어 있습니다.
조직이 인프라를 보다 잘 보호할 수 있도록 SOC Prime Team은 최근 Zoho ManageEngine 제품의 이 악명 높은 제로데이 취약점을 악용하려는 시도를 평가할 수 있는 전용 Sigma 기반 규칙을 개발했습니다. 보안 팀은 SOC Prime의 Detection as Code 플랫폼에서 이 규칙을 다운로드할 수 있습니다.
가능한 Zoho 데스크탑 중앙 [CVE-2021-44515] 익스플로잇 패턴 (file_event 경유)
이 탐지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 있습니다: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Open Distro.
이 규칙은 Exploit Public-Facing Application을 주요 기술(T1190)로 하는 Initial Access 전술을 다루는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있습니다.
또한, 보안 전문가들은 ADSelfService 제로데이 익스플로잇(CVE-2021-40539)과 관련된 악의적인 활동을 확인하기 위해 SOC Prime의 플랫폼에서 제공하는 배치의 신중히 선별된 콘텐츠 를 다운로드할 수 있습니다.
가입하기 SOC Prime의 Detection as Code 플랫폼 에 무료로 가입하여 SIEM이나 XDR 환경에서 최신 위협을 검색하고, MITRE ATT&CK 매트릭스에 정렬된 가장 관련성 있는 콘텐츠에 도달하여 위협 방어 범위를 개선하며, 전반적으로 조직의 사이버 방어 능력을 강화하십시오. 귀하가 콘텐츠 작성자입니까? 세계 최대의 사이버 방어 커뮤니티의 힘을 활용하려면 SOC Prime Threat Bounty 프로그램에 가입하십시오. 연구자들은 자신의 탐지 콘텐츠를 수익화할 수 있습니다.
