[English]Sicherheitsforscher Naveen Sunkavally von Horizon3.ai ist kürzlich auf die Schwachstelle CVE-2022-28219 gestoßen. Diese ermöglicht eine Remotecodeausführung ohne weitere Authentifizierung durch den Angreifer und betrifft die Zoho ManageEngine ADAudit Plus. Das ist ein Compliance-Tool, das von Unternehmen zur Überwachung von Änderungen an der Active Directory verwendet wird. Die Schwachstelle umfasst mehrere Probleme: nicht vertrauenswürdige Java-Deserialisierung, Path Traversal und eine blinde XML External Entities (XXE) Injection. Die Schwachstellen sind inzwischen behoben.
Anzeige
Ich bin über nachfolgenden Tweet auf den Sachverhalt gestoßen, der im Artikel CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus vom 29. Juni 2022 beschrieben wird.
Die Sicherheitsforscher untersuchen regelmäßig ManageEngine-Produkte in internen Pentests. Die Produkte im Zusammenhang mit der Active Directory-Verwaltung (ADManager Plus, ADSelfService Plus, ADAudit Plus, usw.) sind auch deshalb für Angreifer attraktiv, weil sie privilegierten Zugriff auf Active Directory haben. Daher haben sich die Sicherheitsforscher die Zoho-Anwendung ADAudit Plus etwas genauer unter die Lupe genommen. Dabei sind sie auf verschiedene Schwachstellen gestoßen.
Eine potentielle Remote Code Execution-Schwachstelle steckte in einem /cewolf-Endpunkt, der durch das CewolfRenderer-Servlet in der Cewolf-Diagrammbibliothek eines Drittanbieters gehandhabt wird. Dies ist derselbe verwundbare Endpunkt aus CVE-2020-10189, der von @steventseeley gegen ManageEngine Desktop Central gemeldet wurde. Die FileStorage-Klasse in dieser Bibliothek wurde zur Remotecodeausführung über nicht vertrauenswürdige Java-Deserialisierung missbraucht.
Anzeige
Dann suchten die Sicherheitsforscher nach einer Möglichkeit für einen XML external entity-Angriff (XXE), bei dem eine JAVA-Nutzlast geladen wurde. Die Forscher fanden mehrere Möglichkeiten für nicht authentifizierte Benutzer, Dateien hochzuladen, hatten aber anfangs Schwierigkeiten, eine beliebige Datei mit einer Java-Nutzlast hochzuladen, da Sicherheitsfilter und Dateityp-Prüfungen vorhanden waren. Eine der Funktionen von ADAudit Plus ist die Möglichkeit, Sicherheitsereignisse von Agenten zu sammeln, die auf anderen Rechnern in der Domäne laufen. Zur großen Überraschung stellten die Forscher fest, dass einige der Endpunkte, die Agenten zum Hochladen von Ereignissen auf ADAudit Plus verwenden, nicht authentifiziert waren. Dies bot eine große Angriffsfläche, die sich schlussendlich für Remote Code Ausführung ausnutzen ließ.
Zum Schluss haben die Sicherheitsforscher die XXE-Schwachstelle in einem Proof of Concept (PoC) für eine Remote Code Execution-Angriff (RCE) ausnutzen können. Die Schwachstelle wurde Zoho am 28. März 2022 über das Bug Bounty-Programm gemeldet. Der Hersteller bestätigte die Schwachstellen und schloss diese mit einem Patch in ADAudit Plus 7060. Am 29. Juni 2022 erfolgte die detaillierte Offenlegung durch Sicherheitsforscher. Details sind im verlinkten Beitrag nachlesbar.
Anzeige
Nutzt hier jemand dieses Zeugs von ManageEngine? Ich hab das mal ausprobiert und mich hat das nicht überzeugt, schon alleine weil es zum Überwachen einen einzigen AD-Account nutzt, der auf allen überwachten Systemen Adminrechte braucht. Support fand ich auch gruslig und die Software hat insgesamt einen altbackenen Eindruck hinterlassen
also leider sind die meisten Programme relativ intransparent welche Rechte tatsächlich nötig sind, aber oft greifen die Dinger so tief ins System, dass man auch gleich Admin Rechte vergeben kann – entsprechende Absicherung müssen dann für diese "ServiceAccounts" getroffen werden (Deny LocalLogon, Deny TerminalService, etc.)
Hatte 2020 einen PoC und es war wie auf einem indischen Bazar. Man wird teils mit Werbung und bunter Oberfläche bombardiert, während aber einzelne Softwaremodule von unterschiedlicher Qualität waren. So ging zB ein Webinterface im Firefox, aber nicht im Edge, beim nächsten Modul aber dann doch wieder beide…usw. habe den PoC dann sehr schnell abgebrochen.
Off topic:
"https://www.borncity.com/blog/" zeigt bei mir nicht mehr das aktuellste an, dagegen
"https://www.borncity.com/blog/2022/" auch etwas von heute.
Gruß und Danke für den Blog.
Habe da auch schon auf FB eine Meldung bekommen – k.A. was da los ist. Sofern ihr euch allerdings daran stört, dass als erstes ein Beitrag vom 28.6. zu schwachen Passwörtern erscheint und dann erst Artikel vom 1. Juli folgen: Das ist erklärbar – der 1. Artikel vom 28.6. ist für ca. 3 Wochen angepinnt. Werde das Mitte Juli wieder lösen und dann verschwindet der Artikel. Danke für den Hinweis – habe aber erst durch den FB-Nutzer und dessen Screenshot verstanden, was Sache war ;-).