Detecção e Mitigação de Vulnerabilidades do Zoho ManageEngine ServiceDesk Plus

Detecção de Exploração Zoho ManageEngine ServiceDesk Plus

Pesquisadores de segurança alertam que hackers continuam explorando a vulnerabilidade do Zoho ManageEngine ServiceDesk Plus (SDP) em campo. Apesar do patch liberado no primeiro trimestre de 2019, muitas instâncias permanecem vulneráveis, permitindo que adversários implantem malware de web shell e comprometam redes alvo.

Análise CVE-2019-8394

A vulnerabilidade (CVE-2019–8394) foi divulgada em 18 de fevereiro de 2019 e imediatamente explorada por agentes de ameaças para favorecer suas capacidades maliciosas. O bug ocorre devido à insuficiente sanitização dos dados fornecidos pelo usuário no aplicativo ao lidar com uma solicitação SMTP elaborada. Como resultado, um atacante pode utilizar a falha para enviar conteúdo de web shell para o servidor e executar códigos. The rotina de exploração of a falha presume que os fraudadores precisam obter permissões mínimas na rede, por exemplo, por meio de credenciais de convidado. Além disso, o ator autenticado pode enviar um web shell e executar comandos arbitrários do sistema, geralmente enviados via HTTPS. Na verdade, o web shell malicioso atua como uma porta dos fundos e pode redirecionar hackers para outras redes para expandir a escala do comprometimento. De acordo com o relatório conjunto da Agência de Segurança Nacional dos EUA (NSA) e da Direção de Sinais da Austrália (ASD) relatório, os adversários usam malware de web shell no terreno comum para realizar intrusões na rede e alcançar acesso persistente. Consequentemente, a falha CVE-2019–8394 torna-se uma das principais explorações para esse tipo de ataque.

Ações de Detecção e Mitigação

A vulnerabilidade afeta o Zoho ManageEngine ServiceDesk Plus (SDP) antes da versão 10.0 build 10012, então certifique-se de ter atualizado seu software para a versão corrigida. Além disso, você pode considerar a recomendação desenvolvida pela ASD e NSA para mitigar a ameaça associada ao malware de web shell. 

Para obter o conteúdo SOC mais relevante para CVE-2019–8394 encorajamos que você se inscreva no Threat Detection Marketplace. Confira a última regra Sigma de Sittikorn Sangrattanapitak para a detecção proativa da exploração:

https://tdm.socprime.com/tdm/info/Cwy184Jxm6fw/YDVRdnYBmo5uvpkjCPTv/

A regra tem traduções para as seguintes plataformas:

SIEM: QRadar, Splunk, Sumo Logic, LogPoint, RSA NetWitness

NTA: Corelight

MITRE ATT&CK:

Táticas: Persistência

Técnica: Componente de Software de Servidor (T1505)

O SOC Prime Threat Detection Marketplace contém mais de 81.000+ itens de conteúdo SOC aplicáveis à maioria das soluções SIEM e EDR. Obtenha uma assinatura gratuita do Threat Detection Marketplace e descubra o conteúdo curado mais relevante marcado com CVE específico, TTPs usados por grupos APT e vários parâmetros MITRE ATT&CK®. Gosta de codificar e quer tornar a comunidade cibernética mais segura? Não hesite em participar do nosso Programa Threat Bounty e ajude-nos a expandir os horizontes na detecção de ameaças cibernéticas.