Detecção CVE-2022-28219: Vulnerabilidade Crítica RCE no Zoho ManageEngine ADAudit Plus
Índice:
O ManageEngine da Zoho opera frameworks de gerenciamento de rede econômicos utilizados por mais de 40.000 empresas em todo o mundo. Devido à popularidade do software e seu amplo uso globalmente, ameaças cibernéticas detectadas nos produtos da Zoho podem ter um impacto severo em milhares de empresas comprometidas, o que já aconteceu anteriormente com a vulnerabilidade crítica de zero-day nos produtos ManageEngine Desktop Central.
Em 30 de junho de 2022, pesquisadores de cibersegurança revelaram uma vulnerabilidade de execução remota de código (RCE) que afeta o ManageEngine ADAudit Plus, a ferramenta de conformidade da Zoho usada por organizações empresariais para monitorar as mudanças no ambiente do Active Directory (AD). Esta vulnerabilidade crítica acompanhada como CVE-2022-28219 permite que atacantes obtenham acesso privilegiado a credenciais de AD e exfiltrem dados sensíveis.
Detectar Vulnerabilidade CVE-2022-28219
Para ajudar as organizações a minimizar os riscos causados pelas tentativas de exploração do CVE-2022-28219, a equipe SOC Prime lançou recentemente um conjunto de regras Sigma dedicadas que podem ser acessadas instantaneamente usando a tag apropriada #CVE-2022-28219:
Regras Sigma para detectar tentativas de exploração do CVE-2022-28219
Para acessar o conteúdo mencionado acima para detecção proativa da exploração da vulnerabilidade CVE-2022-28219, certifique-se de se inscrever ou fazer login na plataforma da SOC Prime.
The Caminhos do Windows suspeitos em solicitação web (via web) A regra Sigma permite detectar tentativas de adversários de acionar a desserialização Java não confiável e a execução de comandos usando uma solicitação web, que contém um caminho do sistema operacional.
Outra detecção da lista acima, Possível Exploração de Endpoint Vulnerável do ADAudit CVE-2022-28219 (via web), detecta padrões de exploração de endpoint vulnerável do ADAudit relacionados ao CVE-2022-28219.
Ambas Regras Sigma podem ser instantaneamente convertidas para as soluções líderes da indústria de SIEM, EDR e XDR e ajustadas para esquemas de dados personalizados para implantações de conteúdo escaláveis. Para aumentar a visibilidade da ameaça, as regras Sigma dedicadas estão alinhadas com o MITRE ATT&CK® framework abordando a tática de Acesso Inicial com a técnica Explorar Aplicação Exposta ao Público (T1190) como sua técnica principal.
Os Hunters de Ameaças, especialistas em Inteligência de Ameaças Cibernéticas e outros profissionais de InfoSec também podem aplicar as regras Sigma mencionadas acima para buscar instantaneamente por ameaças associadas ao CVE-2022-28219 usando o módulo Quick Hunt da SOC Prime.
A plataforma Detection as Code da SOC Prime coordena uma ampla coleção de algoritmos de detecção para defender proativamente contra ameaças cibernéticas que impactam os produtos ManageEngine da Zoho. Clique no botão Detect & Hunt abaixo para acessar a lista abrangente de regras de detecção dedicadas e consultas de hunting. Alternativamente, especialistas em cibersegurança podem explorar a SOC Prime para se aprofundar em informações contextuais relacionadas ao CVE-2022-28219, explorar referências MITRE ATT&CK, descrições de CVE, links CTI relevantes, e mais — tudo em um único lugar e sem registro.
Detect & Hunt Explore Contexto de Ameaças
Análise e Mitigação de Falhas do ManageEngine ADAudit Plus
The inquiry by Horizon3.ai detalha a vulnerabilidade RCE não autenticada que afeta a ferramenta de conformidade Zoho ManageEngine ADAudit Plus. Os pesquisadores observam que essa falha crítica deriva de um conjunto de lacunas de segurança, incluindo desserialização Java não confiável, traversal de caminho, e uma injeção de Entidades Externas XML (XXE) cega. Caso explorado, o bug permite que os adversários executem código remotamente em instâncias vulneráveis e, em alguns casos, comprometam contas de administrador de domínio.
O exploit proof-of-concept está publicamente disponível via GitHub. A natureza do bug e seu potencial efeito fazem dele um ponto de alto interesse para operadores de ransomware e corretores de acesso inicial.
Pesquisadores instam todos os usuários empresariais do ADAudit Plus a atualizarem suas instâncias para o build 7060 a fim de prevenir ataques contra a infraestrutura.
Para fortalecer a postura de cibersegurança da sua organização, acesse a maior coleção mundial de regras Sigma compatíveis com mais de 25 plataformas SIEM, XDR e EDR via plataforma Detection as Code da SOC Prime. Ansioso para ajudar a comunidade global de cibersegurança a resistir às ameaças emergentes enquanto aprimora suas habilidades de Threat Hunting e Engenharia de Detecção? Participe do nosso Programa Threat Bounty, publique suas próprias regras Sigma na plataforma da SOC Prime e receba pagamentos recorrentes por sua contribuição!
