0
0
Uma vulnerabilidade crítica na ferramenta de conformidade amplamente utilizada da Zoho, o ManageEngine ADAudit Plus, que monitora as alterações no Microsoft Active Directory, deixa os endpoints vulneráveis a usuários não autenticados. Uma exploração bem-sucedida pode permitir que um invasor assuma toda uma rede corporativa, alertam os pesquisadores da Horizon3.ai.
O ADAudit Plus oferece um caminho para as estações de trabalho, servidores e servidores de arquivos de uma organização, dando aos administradores de TI acesso a uma variedade de usuários, grupos, permissões e credenciais de login, bem como políticas de segurança. O ADAudit Plus também permite que os usuários coletem eventos de segurança de agentes em execução em outras máquinas no domínio por meio de endpoints que os agentes usam para fazer upload de eventos.
A capacidade da plataforma de oferecer acesso profundo ao ecossistema interno de TI de uma empresa aumenta o potencial de um nível de exposição de dados em caso de violação.
A vulnerabilidade CVE-2022-28219 permite que agentes maliciosos assumam facilmente uma rede para a qual eles já têm acesso inicial. Agentes maliciosos podem explorar essa vulnerabilidade para implantar ransomware, extrair dados comerciais confidenciais ou interromper as operações de negócios.
Eles também poderiam explorar as Entidades Externas XML (XXE), a desserialização Java e as vulnerabilidades de travessia de caminhos para causar estragos adicionais, de acordo com uma análise aprofundada desta semana pelo Horizon3.ai.
Dentro da Vulnerabilidade
Horizon3.ai descobriu que alguns dos endpoints do ADAudit Plus usados para relatórios não eram autenticados.
“Uma das primeiras coisas que se destacou foi a presença de um endpoint /cewolf tratado pelo servlet CewolfRenderer na biblioteca de gráficos Cewolf de terceiros”, afirma a análise. “Este é o mesmo endpoint vulnerável do CVE-2020-10189, relatado contra o ManageEngine Desktop Central.”
Ele acrescentou: “Isso nos deu uma grande superfície de ataque para trabalhar porque há muita lógica de negócios que foi escrita para processar esses eventos. Ao procurar um vetor de upload de arquivos, encontramos um caminho para acionar uma vulnerabilidade cega XXE [injeção de Entidade Externa XML] na classe ProcessTrackingListener, que lida com eventos contendo conteúdo XML de tarefas agendadas do Windows.”
A vulnerabilidade foi divulgada à Zoho em março, que lançou uma nova compilação, ADAudit Plus 7060, para corrigir o problema. O patch corrige a vulnerabilidade removendo completamente o ponto final /cewolf, em vez disso, usando uma versão segura do DocumentBuilderFactory na classe ProcessingTrackingListener e exigindo autenticação na forma de um GUID de agente entre agentes e o ADAudit Plus.
Altas apostas, além de exploração difícil de detectar
O arquiteto-chefe da Horizon3.ai, Naveen Sunkavally, explica que os produtos ManageEngine são muito comuns na empresa e têm sido alvos favoritos de atacantes ao longo dos anos.
“ADAudit Plus é uma ferramenta usada para conformidade e auditoria, o que é uma necessidade comum para muitas empresas que abrangem diferentes verticais”, diz ele. “Essa vulnerabilidade está presente em muitos tipos de ambientes, desde cuidados de saúde e tecnologia até construção e governos locais.”
No outono passado, o ManageEngine ADSelfService Plus, o Desktop Central e o ServiceDesk Plus foram ativamente alvo de atacantes usando zero dias anteriormente não revelados (CVE-2021-44515, CVE-2021-44077 e CVE-2021-40539) que agora fazem parte da lista de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA.
A vulnerabilidade mais recente é fácil de explorar sem qualquer conhecimento prévio e pode produzir as “chaves para o reino”, explica Sunkavally. Para inicializar, a exploração não é tão fácil de detectar porque faz uso do comportamento natural do aplicativo ADAudit Plus.
“ADAudit Plus é um alvo atraente para invasores porque se integra ao Active Directory e armazena credenciais de usuário de domínio altamente privilegiado”, diz Sunkavally.
Ele observa que um invasor com acesso inicial a uma rede comprometida pode explorar essa vulnerabilidade para extrair essas credenciais altamente privilegiadas, mover-se lateralmente e assumir toda a rede.
“Vimos ambientes do mundo real em que apenas explorar essa vulnerabilidade é suficiente para assumir a empresa”, acrescenta Sunkavally.
Ele aconselha as empresas que usam o ADAudit Plus a atualizar para construir 7060 ou posterior e garantir que o ADAudit Plus esteja configurado com uma conta de serviço dedicada com privilégios restritos.
“Essa vulnerabilidade não é para adiar os patches”, diz ele.
Buggy ManageEngine tem histórico de vulnerabilidades
Esta não é a primeira vez que o conjunto ManageEngine é encontrado com vulnerabilidades. Em setembro passado, uma consultoria conjunta do FBI e da CISA alertou sobre atacantes do APT explorando uma vulnerabilidade crítica de desvio de autenticação no ManageEngine ADSelfService Plus.
Enquanto Zoho se mudou para corrigir as vulnerabilidades, menos de um mês depois, a Palo Alto Networks emitiu um aviso de que muitas empresas ainda estão vulneráveis.
Mais recentemente, um ataque indescritível direcionado ao software de gerenciamento de rede Orion da SolarWinds, apelidado de ataque cibernético Supernova, explorou uma falha do ManageEngine no software em execução no servidor de uma vítima.
FONTE: DARK READING