{"id":269963,"date":"2022-07-01T00:11:00","date_gmt":"2022-06-30T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269963"},"modified":"2022-06-30T16:29:24","modified_gmt":"2022-06-30T14:29:24","slug":"unauthorized-rce-cve-2022-28219-in-zoho-manageengine-adaudit-plus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/01\/unauthorized-rce-cve-2022-28219-in-zoho-manageengine-adaudit-plus\/","title":{"rendered":"Unauthorized RCE CVE-2022-28219 in Zoho ManageEngine ADAudit Plus"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher Naveen Sunkavally von Horizon3.ai ist k\u00fcrzlich auf die Schwachstelle CVE-2022-28219 gesto\u00dfen. Diese erm\u00f6glicht eine Remotecodeausf\u00fchrung ohne weitere Authentifizierung durch den Angreifer und betrifft die Zoho ManageEngine ADAudit Plus. Das ist ein Compliance-Tool, das von Unternehmen zur \u00dcberwachung von \u00c4nderungen an der Active Directory verwendet wird. Die Schwachstelle umfasst mehrere Probleme: nicht vertrauensw\u00fcrdige Java-Deserialisierung, Path Traversal und eine blinde XML External Entities (XXE) Injection. Die Schwachstellen sind inzwischen behoben.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet auf den Sachverhalt gesto\u00dfen, der im Artikel CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus<\/a> vom 29. Juni 2022 beschrieben wird.<\/p>\n

\"CVE-2022-28219<\/a><\/p>\n

Die Sicherheitsforscher untersuchen regelm\u00e4\u00dfig ManageEngine-Produkte in internen Pentests. Die Produkte im Zusammenhang mit der Active Directory-Verwaltung (ADManager Plus, ADSelfService Plus, ADAudit Plus, usw.) sind auch deshalb f\u00fcr Angreifer attraktiv, weil sie privilegierten Zugriff auf Active Directory haben. Daher haben sich die Sicherheitsforscher die Zoho-Anwendung ADAudit Plus etwas genauer unter die Lupe genommen. Dabei sind sie auf verschiedene Schwachstellen gesto\u00dfen.<\/p>\n

Eine potentielle Remote Code Execution-Schwachstelle steckte in einem \/cewolf-Endpunkt, der durch das CewolfRenderer-Servlet in der Cewolf-Diagrammbibliothek eines Drittanbieters gehandhabt wird. Dies ist derselbe verwundbare Endpunkt aus CVE-2020-10189<\/a>, der von @steventseeley gegen ManageEngine Desktop Central gemeldet wurde. Die FileStorage-Klasse in dieser Bibliothek wurde zur Remotecodeausf\u00fchrung \u00fcber nicht vertrauensw\u00fcrdige Java-Deserialisierung missbraucht.<\/p>\n

Dann suchten die Sicherheitsforscher nach einer M\u00f6glichkeit f\u00fcr einen XML external entity-Angriff (XXE), bei dem eine JAVA-Nutzlast geladen wurde. Die Forscher fanden mehrere M\u00f6glichkeiten f\u00fcr nicht authentifizierte Benutzer, Dateien hochzuladen, hatten aber anfangs Schwierigkeiten, eine beliebige Datei mit einer Java-Nutzlast hochzuladen, da Sicherheitsfilter und Dateityp-Pr\u00fcfungen vorhanden waren. Eine der Funktionen von ADAudit Plus ist die M\u00f6glichkeit, Sicherheitsereignisse von Agenten zu sammeln, die auf anderen Rechnern in der Dom\u00e4ne laufen. Zur gro\u00dfen \u00dcberraschung stellten die Forscher fest, dass einige der Endpunkte, die Agenten zum Hochladen von Ereignissen auf ADAudit Plus verwenden, nicht authentifiziert waren. Dies bot eine gro\u00dfe Angriffsfl\u00e4che, die sich schlussendlich f\u00fcr Remote Code Ausf\u00fchrung ausnutzen lie\u00df.<\/p>\n

Zum Schluss haben die Sicherheitsforscher die XXE-Schwachstelle in einem Proof of Concept (PoC) f\u00fcr eine Remote Code Execution-Angriff (RCE) ausnutzen k\u00f6nnen. Die Schwachstelle wurde Zoho am 28. M\u00e4rz 2022 \u00fcber das Bug Bounty-Programm gemeldet. Der Hersteller best\u00e4tigte die Schwachstellen und schloss diese mit einem Patch in ADAudit Plus 7060. Am 29. Juni 2022 erfolgte die detaillierte Offenlegung durch Sicherheitsforscher. Details sind im verlinkten Beitrag<\/a> nachlesbar.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher Naveen Sunkavally von Horizon3.ai ist k\u00fcrzlich auf die Schwachstelle CVE-2022-28219 gesto\u00dfen. Diese erm\u00f6glicht eine Remotecodeausf\u00fchrung ohne weitere Authentifizierung durch den Angreifer und betrifft die Zoho ManageEngine ADAudit Plus. Das ist ein Compliance-Tool, das von Unternehmen zur \u00dcberwachung von \u00c4nderungen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[4328,3836,3288],"class_list":["post-269963","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-sicherheit","tag-software","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269963"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269963\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}