Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết kỹ thuật và mã khai thác cho CVE-2022-28219, một lỗ hổng nghiêm trọng (điểm CVSS; 9,8 trên 10) trong Zoho ManageEngine ADAudit Plus - công cụ giám sát các hoạt động trong Active Directory.
Lỗ hổng cho phép kẻ tấn công không cần xác thực có thể thực thi mã từ xa và xâm phạm các tài khoản Active Directory.
Zoho đã khắc phục lỗ hổng này vào cuối tháng 3 trong phiên bản ADAudit Plus build 7060 sau khi nhận được báo cáo từ nhà nghiên cứu Naveen Sunkavally tại Horizon3.ai.
Chi tiết kỹ thuật
Trong một bài đăng, Horizon3.ai đã tiết lộ các thông tin kỹ thuật và mã khai thác cho CVE-2022-28219.
Lỗ hổng liên quan đến ba vấn đề: untrusted Java deserialization, path traversal, và blind XXE injection, cuối cùng dẫn đến việc thực thi mã từ xa mà không cần xác thực.
Nhà nghiên cứu đã bắt đầu điều tra lỗ hổng sau khi tìm thấy một endpoint được quản lý bởi servlet CewolfRenderer trong thư viện biểu đồ Cewolf của bên thứ ba.
Naveen Sunkavally cho biết “đây cũng là endpoint dùng để khai thác CVE-2020-10189 trong ManageEngine Desktop Central đã được @steventseeley báo cáo. Class FileStorage trong thư viện này đã bị lạm dụng để thực thi mã từ xa thông qua deserialization Java không an toàn”.
Sau khi tìm ra cách thực thi mã từ xa, Sunkavally bắt đầu tìm kiếm cách tải lên tệp mà không cần xác thực và nhận thấy một số endpoint ADAudit Plus cho phép upload các security event mà không yêu cầu xác thực.
Sau đó, nhà nghiên cứu đã tìm ra cách để kích hoạt lỗ hổng blind-XXE trong class ProcessTrackingListener quản lý các event Windows scheduled task XML.
Lỗ hổng blind-XXE trong Java có thể khó khai thác. Tuy nhiên, nó có thể khai thác dễ dàng hơn trong trường hợp ADAudit Plus sử dụng phiên bản Java runtime cũ hơn, cho phép chuyển các tệp và liệt kê các thư mục cũng như tải các tệp lên qua FTP.
Nhà nghiên cứu cho biết: mặc định trong ADAudit Plus sử dụng Java 8u051 và ba phần tư cài đặt hiện đang chạy phiên bản Java runtime cũ hơn.
Nghiên cứu của Sunkavally cũng chỉ ra kẻ tấn công có thể thu thập và chuyển tiếp các mã băm NTLM trên các máy Windows bất kể phiên bản Java runtime.
Để chứng minh tính hợp lệ của những phát hiện này, Horizon3.ai đã phát hành mã khai thác CVE-2022-28219 trong ManageEngine ADAudit Plus build 7060 để khởi chạy ứng dụng máy tính (calculator) trong Windows.
Ngoài ra, kẻ tấn công cũng có thể lấy được thông tin đăng nhập Active Directory và sử dụng quyền truy cập này để phát tán mã độc trên tất cả các máy trong mạng hoặc thực hiện các tấn công khác vào hệ thống.
Người dùng Zoho ManageEngine ADAudit Plus nên kiểm tra và cập nhật bản vá ngay khi có thể để tránh nguy cơ bị khai thác tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Google đã công bố một loạt cải tiến đối với dịch vụ quản lý mật khẩu (password manager) của mình nhằm tạo ra giao diện nhất quán hơn trên các nền tảng khác nhau.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một phần mềm độc hại đánh cắp thông tin mới nhắm mục tiêu vào những người sáng tạo nội dung YouTube bằng cách đánh cắp cookie xác thực của họ.
Tín nhiệm mạng | Lỗ hổng mới trong tiện ích UnRAR của RARlab có thể bị khai thác để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng, bao gồm máy chủ Zimbra Webmail.
Tín nhiệm mạng | Microsoft đã xác nhận các sự cố kết nối Internet ảnh hưởng đến các máy chủ RRAS sau khi cài đặt các bản cập nhật Windows được phát hành trong Patch Tuesday của tháng này.
Tín nhiệm mạng | Một nỗ lực xâm nhập bị nghi ngờ là ransomware nhằm vào một mục tiêu chưa xác định đã lạm dụng thiết bị Mitel VoIP để thực thi mã từ xa và có được quyền truy cập ban đầu.
Tín nhiệm mạng | Cơ quan bảo mật của Mỹ cảnh báo về những nỗ lực khai thác lỗ hổng Log4Shell của các tác nhân đe dọa nhằm vào máy chủ VMware để xâm phạm hệ thống mục tiêu đã được phát hiện gần đây.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
