Zoho’nun Microsoft Active Directory’deki değişiklikleri izleyen, yaygın olarak kullanılan uyumluluk aracı ManageEngine ADAudit Plus’taki kritik bir güvenlik açığı, uç noktaları kimliği doğrulanmamış kullanıcılara karşı savunmasız bırakır. Horizon3.ai araştırmacıları, başarılı bir açıktan yararlanmanın bir saldırganın tüm kurumsal ağı ele geçirmesine izin verebileceği konusunda uyarıyor.
ADAudit Plus, bir kuruluşun iş istasyonlarına, sunucularına ve dosya sunucularına giden bir yol sunarak BT yöneticilerine çeşitli kullanıcılara, gruplara, izinlere ve oturum açma kimlik bilgilerinin yanı sıra güvenlik ilkelerine erişim sağlar. ADAudit Plus ayrıca kullanıcıların, aracıların olayları yüklemek için kullandığı uç noktalar aracılığıyla etki alanındaki diğer makinelerde çalışan aracılardan güvenlik olaylarını toplamasını sağlar.
Platformun bir şirketin dahili BT ekosistemine derinlemesine erişim sağlama yeteneği, bir ihlal durumunda kabus senaryosu düzeyinde bir veri maruziyeti potansiyelini artırır.
bu CVE-2022-28219 güvenlik açığı, kötü niyetli aktörlerin zaten ilk erişime sahip oldukları bir ağı kolayca ele geçirmelerini sağlar. Kötü niyetli aktörler, fidye yazılımı dağıtmak, hassas iş verilerini sızdırmak veya iş operasyonlarını kesintiye uğratmak için bu güvenlik açığından yararlanabilir.
Daha sonra, bir araştırmaya göre ek hasara yol açmak için XML Dış Varlıkları (XXE), Java serisini kaldırma ve yol geçişi güvenlik açıklarından yararlanmaya devam edebilirler. derinlemesine analiz Horizon3.ai tarafından bu hafta.
Güvenlik Açığı İçinde
Horizon3.ai, raporlama için kullanılan ADAudit Plus uç noktalarından bazılarının kimliğinin doğrulanmadığını keşfetti.
Analiz, “Öne çıkan ilk şeylerden biri, üçüncü taraf Cewolf grafik kitaplığında CewolfRenderer sunucu uygulaması tarafından işlenen bir /cewolf uç noktasının varlığıydı” diyor. “Bu, aynı savunmasız uç nokta CVE-2020-10189ManageEngine Desktop Central’a karşı rapor edildi.”
“Bu bize üzerinde çalışabileceğimiz geniş bir saldırı yüzeyi sağladı çünkü bu olayları işlemek için yazılmış çok sayıda iş mantığı var. Bir dosya yükleme vektörü ararken, kör bir XXE’yi tetikleyecek bir yol bulduk [XML External Entity injection] Windows zamanlanmış görev XML içeriğini içeren olayları işleyen ProcessTrackingListener sınıfındaki güvenlik açığı.”
Güvenlik açığı, sorunu çözmek için yeni bir yapı olan ADAudit Plus 7060’ı yayınlayan Mart ayında Zoho’ya açıklandı. Yama, ProcessingTrackingListener sınıfında DocumentBuilderFactory’nin güvenli bir sürümünü kullanmak yerine /cewolf uç noktasını tamamen kaldırarak ve aracılar ile ADAudit Plus arasında bir aracı GUID’si biçiminde kimlik doğrulaması gerektirerek güvenlik açığını giderir.
Yüksek Bahisler, Artı Sömürü Tespiti Zor
Horizon3.ai baş mimarı Naveen Sunkavally, ManageEngine ürünlerinin işletmelerde çok yaygın olduğunu ve yıllardır saldırganların favori hedefleri olduğunu açıklıyor.
“ADAudit Plus, farklı sektörlere yayılmış birçok şirket için ortak bir ihtiyaç olan uyumluluk ve denetim için kullanılan bir araçtır” diyor. “Bu güvenlik açığının sağlık ve teknolojiden inşaat ve yerel yönetimlere kadar birçok ortamda mevcut olduğu bulundu.”
Daha geçen sonbaharda, ManageEngine ADSelfService Plus, Desktop Central ve ServiceDesk Plus, şu anda bir parçası olan daha önce açıklanmayan sıfır günleri (CVE-2021-44515, CVE-2021-44077 ve CVE-2021-40539) kullanan saldırganlar tarafından aktif olarak hedef alındı. CISA Bilinen Sömürülen Güvenlik Açıkları (KEV) liste.
Sunkavally, en son güvenlik açığından herhangi bir ön bilgi olmadan yararlanmanın kolay olduğunu ve “krallığın anahtarlarını” verebileceğini açıklıyor. Önyükleme yapmak için, ADAudit Plus uygulamasının doğal davranışını kullandığından, istismarın saptanması o kadar kolay değil.
Sunkavally, “ADAudit Plus, Active Directory ile bütünleştiği ve yüksek ayrıcalıklı alan kullanıcı kimlik bilgilerini depoladığı için saldırganlar için çekici bir hedef” diyor.
Güvenliği ihlal edilmiş bir ağa ilk erişimi olan bir saldırganın, bu yüksek ayrıcalıklı kimlik bilgilerini çıkarmak, yanal hareket etmek ve tüm ağı ele geçirmek için bu güvenlik açığından yararlanabileceğini belirtiyor.
Sunkavally, “Bu güvenlik açığından yararlanmanın yalnızca işletmeyi ele geçirmeye yettiği gerçek dünya ortamları gördük” diye ekliyor.
ADAudit Plus kullanan işletmelere, 7060 veya sonraki bir sürüme yükseltme yapmalarını ve ADAudit Plus’ın kısıtlı ayrıcalıklara sahip özel bir hizmet hesabıyla yapılandırıldığından emin olmalarını tavsiye ediyor.
“Bu güvenlik açığı, yamalamayı geciktirecek bir güvenlik açığı değil” diyor.
Buggy ManageEngine, Güvenlik Açıklarının Geçmişine Sahiptir
Bu, ManageEngine paketinin güvenlik açıklarına sahip olduğu ilk kez tespit edilmedi. Geçen Eylül ayında FBI ve CISA’nın ortak bir tavsiyesi, APT saldırganlarının ManageEngine ADSelfService Plus’ta kritik bir kimlik doğrulama atlama güvenlik açığından yararlanması konusunda uyardı.
Zoho, güvenlik açıklarını düzeltmek için harekete geçerken, bir aydan kısa bir süre sonra Palo Alto Networks, birçok şirketin hala savunmasız olduğuna dair bir uyarı yayınladı.
Son zamanlarda, Supernova siber saldırısı olarak adlandırılan SolarWinds’in Orion ağ yönetim yazılımını hedef alan zor bir saldırı, kurbanın sunucusunda çalışan yazılımdaki bir ManageEngine açığından yararlandı.