Detectando CVE-2021-44515: Zero-Day no Zoho ManageEngine Desktop Central
Índice:
Fique alerta! Agentes de ameaça estão ativamente explorando a nova vulnerabilidade zero-day (CVE-2021-44515) nos produtos Zoho ManageEngine Desktop Central para atacar empresas em todo o mundo. A falha é uma questão crítica de bypass de autenticação que permite que hackers ganhem acesso não autorizado e executem código arbitrário em servidores vulneráveis.
Descrição CVE-2021-44515
Zoho ManageEngine Desktop Central é uma ferramenta de gerenciamento amplamente utilizada, aplicada por administradores para implantação automatizada de software e solução de problemas remotos em toda a rede.
Em 3 de dezembro de 2021, a Zoho anunciou a presença do zero-day crítico juntamente com o envio do patch e fornecimento das etapas de mitigação. Segundo a Zoho, a falha afeta seus produtos ManageEngine Desktop Central e Desktop Central MSP, permitindo que adversários ganhem acesso não autorizado à instalação e enviem uma solicitação especialmente criada que resulta na execução remota de código nos servidores Desktop Central MSP.
Uma busca rápida no Shodan mostra mais de 3.200 instalações do ManageEngine Desktop Central vulneráveis a ataques. Como os detalhes da falha foram tornados públicos, hackers estão ativamente explorando a exploração de bugs do Zoho ManageEngine.
CVE-2021-44515 é a terceira vulnerabilidade em um período de quatro meses a ser explorada ativamente por adversários. Ela forma um trio mortal com o exploit zero-day do ADSelfService (CVE-2021-40539) e uma falha crítica do ServiceDesk (CVE-2021-44077), explorada por múltiplos atores patrocinados por estados para intrusões durante agosto-outubro de 2021. Além disso, na semana passada, a CISA emitiu um alerta para o CVE-2021-44077 informando que atores APT usaram a falha para implantar web shells e realizar uma ampla gama de rotinas de pós-exploração durante a campanha “TitledTemple”.
CVE-2021-44515 Detecção e Mitigação
Zoho emitiu o CVE-2021-44515: Aviso de Segurança onde introduzem a Ferramenta de Detecção de Exploit para permitir que as organizações identifiquem se sua instalação foi afetada pela vulnerabilidade de bypass de autenticação. O Aviso de Segurança também cobre o plano de resposta a incidentes seguido de recomendações sobre como agir para minimizar os riscos uma vez afetado pela vulnerabilidade.
Para ajudar as organizações a proteger melhor sua infraestrutura, a equipe da SOC Prime desenvolveu recentemente a regra baseada em Sigma dedicada, permitindo que profissionais de segurança avaliem tentativas de exploração dessa notória vulnerabilidade zero-day em produtos Zoho ManageEngine. As equipes de segurança podem baixar a regra da plataforma Detecção como Código da SOC Prime:
Padrões de Exploração Possíveis do Zoho Desktop Central [CVE-2021-44515] (via file_event)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Azure Sentinel, Splunk, Chronicle Security, ELK Stack, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Microsoft Defender ATP, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, e Open Distro.
A regra está alinhada com a última estrutura do MITRE ATT&CK® framework v.10 abordando a tática de Acesso Inicial com a Exploração de Aplicações de Exposição Pública como a técnica principal (T1190).
Além disso, profissionais de segurança podem identificar a atividade maliciosa associada ao exploit zero-day do ADSelfService (CVE-2021-40539) baixando um lote de conteúdo curado disponível no repositório Threat Detection Marketplace, gerenciado pela plataforma da SOC Prime.
Junte-se à plataforma Detecção como Código da SOC Prime gratuitamente para procurar as últimas ameaças em seu ambiente SIEM ou XDR, melhorar sua cobertura de ameaças alcançando o conteúdo mais relevante alinhado com a matriz MITRE ATT&CK e, no geral, aumentar as capacidades de defesa cibernética da organização. Você é um autor de conteúdo? Explore o poder da maior comunidade de defesa cibernética do mundo ao se juntar ao programa de Recompensas de Ameaças da SOC Prime, onde os pesquisadores podem monetizar seu próprio conteúdo de detecção.
