Zoho ManageEngine ServiceDesk Plus 취약점 탐지 및 완화

Zoho ManageEngine ServiceDesk Plus Exploit 탐지

보안 연구자들은 해커들이 여전히 Zoho ManageEngine ServiceDesk Plus (SDP) 취약점을 실제 환경에서 이용하고 있다고 경고합니다. 2019년 1분기에 패치가 발표되었음에도 불구하고 많은 인스턴스가 여전히 취약하여, 공격자들이 웹 셸 멀웨어를 배포하고 타겟 네트워크를 손상시킬 수 있게 합니다.

CVE-2019-8394 분석

취약점(CVE-2019–8394)은 2019년 2월 18일에 공개되었고, 즉시 위협 행위자들에 의해 악의적인 능력을 강화하는 데 활용되었습니다. 이 버그는 사용자가 제공한 입력값의 불충분한 정리 때문에 발생하며, 특수하게 조작된 SMTP 요청을 처리할 때 앱에서 발생합니다. 결과적으로 공격자는 서버에 웹 셸 콘텐츠를 업로드하고 코드를 실행할 수 있는 취약점을 사용할 수 있습니다. The 악용 절차 of 결함은 사기꾼들이 네트워크에서 최소한의 권한을 취득해야 할 것을 전제로 합니다. 예를 들어, 게스트 자격 증명을 통해서입니다. 추가적으로, 인증된 행위자는 웹 셸을 업로드하고 보통 HTTPS를 통해 전달되는 임의의 시스템 명령을 실행할 수 있습니다. 사실, 악의적인 웹 셸은 백도어로 작동하며 해커들이 타 네트워크로 경로를 변경하여 손상의 범위를 확대할 수 있습니다. 미국 국가 안보국 (NSA)과 호주 신호국 (ASD)의 공동 보고서, 에 따르면, 적들은 네트워크 침입을 수행하고 지속적인 접근을 달성하기 위해 웹 셸 멀웨어를 공통적으로 사용합니다. 따라서, CVE-2019–8394 취약점은 이러한 유형의 공격에서 최상위 악용 사례 중 하나가 됩니다.

탐지 및 완화 조치

취약점은 Zoho ManageEngine ServiceDesk Plus (SDP) 10.0 빌드 10012 이전 버전에 영향을 미치므로, 소프트웨어를 패치된 버전으로 업그레이드했는지 확인하세요. 또한, 웹 셸 멀웨어와 관련된 위협을 완화하기 위해 ASD 및 NSA가 개발한 권고사항 를 고려할 수 있습니다. 

CVE-2019–8394에 대한 가장 관련성 높은 SOC 콘텐츠를 얻기 위해 위협 탐지 마켓플레이스에 구독하는 것을 권장드립니다. 최신 Sigma 규칙을 확인하세요. Sittikorn Sangrattanapitak 에 의한 악용 사전 탐지:

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness

NTA: Corelight

MITRE ATT&CK:

전술: 지속성

기법: 서버 소프트웨어 구성 요소 (T1505)

SOC Prime 위협 탐지 마켓플레이스에는 대다수의 SIEM 및 EDR 솔루션에 적용할 수 있는 81,000개 이상의 SOC 콘텐츠 항목이 포함되어 있습니다. 무료 구독을 받고 Threat Detection Marketplace 에서 특정 CVE, APT 그룹이 사용하는 TTPs 및 다수의 MITRE ATT&CK® 매개변수가 태그된 가장 관련성 높은 큐레이션된 콘텐츠를 발견하세요. 코딩을 즐기며 사이버 커뮤니티를 더욱 안전하게 만들고 싶으신가요? 주저하지 말고 우리의 위협 현상금 프로그램 에 참여하여 사이버 위협 탐지의 지평을 확장하는 데 도움을 주시기 바랍니다.