Güvenlik araştırmacıları, Active Directory'deki faaliyetleri izlemek için Zoho ManageEngine Adaudit Plus aracı olan kritik bir güvenlik açığı olan CVE-2022-28219 için teknik detaylar ve kavram kanıtı istismar kodu yayınladılar.
Güvenlik açığı, kimlik doğrulanmamış bir saldırganın kodu uzaktan yürütmesine ve Active Directory hesaplarından ödün vermesine izin verir. 10 üzerinden 9,8 kritik bir önem skoru ile birlikte gelir.
Zoho, güvenlik araştırmacısı Naveen Sunkavally'deki Horizon3.Ai'den sonra şirkete bildirdikten sonra Adaudit Plus'ın 7060'da Mart sonunda konuya değindi.
Bu haftanın başlarında, Horizon3.AI, bulguları gösteren kavram kanıtı ile birlikte CVE-2022-28219'un arkasındaki teknik yönleri açıklayan bir blog yazısı yayınladı.
Güvenlik açığı, güvenilmeyen Java Desarizasyonu, Yol Geçiş ve Kör XML Harici Varlıklar (XXE) enjeksiyonundan oluşur, bu da sonuçta kimlik doğrulaması olmadan uzaktan kod yürütülmesine yol açar.
Araştırmacı, üçüncü taraf Cewolf grafik kütüphanesinde Cewolfrenderer Servlet tarafından yönetilen bir uç nokta bulduktan sonra soruşturmaya başladı.
“Bu, @SteventSeeley tarafından ManageenGine Desktop Central'a karşı bildirilen CVE-2020-10189'dan aynı savunmasız uç nokta. Bu kütüphanedeki dosya sınıfı, güvenilmeyen Java Deserialization aracılığıyla uzaktan kod yürütülmesi için istismar edildi ” -Naveen Sunkavally
Kütüphaneye daha yakından bakıldığında, araştırmacı, giriş yollarını sterilize etmediğini keşfetti ve diskteki keyfi bir yerde bir Java yükünü festivalize etmek için kapıyı açık bıraktı.
Sunkavally, kodu uzaktan yürütmenin bir yolunu bulduktan sonra, kimlik doğrulaması olmadan dosya yüklemek için yöntemler aramaya başladı ve güvenlik olaylarını yüklemek için makinede çalışan ajanların kullandığı bazı Adaudit artı uç noktaların kimlik doğrulaması gerektirmediğini buldu.
“Bu bize çalışmak için büyük bir saldırı yüzeyi verdi çünkü bu olayları işlemek için yazılan çok fazla iş mantığı var” - Naveen Sunkavally
Araştırmacı daha sonra, Windows planlanan görev XML içeriğiyle etkinlikleri yönetmekten sorumlu ProcessTrackingListener sınıfında kör bir XXE güvenlik açığını tetiklemenin bir yolunu buldu.
Sunkavally, Java'daki kör XXE güvenlik açıklarının sömürülmesinin zor olabileceğini belirtiyor. Bununla birlikte, Adaudit Plus'ın eski bir Java çalışma zamanı ile gönderilmesinden bu yana çalışmaları daha kolay hale getirildi ve FTP üzerinden dosya aktarmasına ve dizinleri listelemesine ve dosya yüklemesine izin verdi.
Araştırmacı, Adaudit Plus'taki varsayılanın Java 8U051 olduğunu ve kurulumların dörtte üçünün Java çalışma zamanının eski bir sürümünü çalıştırdığını buldu.
Sunkavally’nin soruşturması, bir saldırganın Java çalışma zamanı sürümünden veya XXE güvenlik açıklarından bağımsız olarak Windows makinelerinde NTLM karmalarını toplayabileceğini ve aktarabileceğini de ortaya koydu.
Sunkavally, “Bunun nedeni, Java HTTP istemcisinin NTLM'nin kimlik doğrulaması gerektiren bir sunucuya bağlanması durumunda NTLM üzerinden kimlik doğrulaması yapmaya çalışmasıdır” diye açıklıyor Sunkavally.
Bu bulguların geçerliliğini göstermek için, Horizon3.Ai ManagementEnEngine Adaudit Plus'ta CVE-2022-28219'u Windows'ta yürütmek için 7060'dan önce inşa eden yayınlanmış kod.
Savunmasız bir Adaudit Plus örneğini hedefleyen bir saldırgan da Active Directory için kimlik bilgileri alabilir ve bu erişimi ağdaki tüm makinelerde kötü amaçlı yazılım dağıtmak için kullanabilir.
Adaudit Plus kimlik bilgilerini şifreli bir durumda saklasa da, araştırmacı “Bu kimlik bilgilerine açık olarak erişmek için şifrelemeyi tersine çevirmenin mümkün olduğunu” söylüyor.
Birçok kullanıcı genellikle Adaudit Plus kullanarak denetim etkinliklerini başlatmak için etki alanı yönetici kimlik bilgilerini kullandığından, bir tehdit oyuncusu girişleri alabilir ve saldırılarını daha da ileriye götürebilir.
Bu daha kolay bir yol olsa da, sınırlı ayrıcalıklara sahip ayrı hizmet hesapları oluşturmak daha güvenli bir yöntemdir.
Atlassian Confluence RCE Bug, Patch Now için yayınlanan istismar
Kritik VMware Auth Bypass hatası için piyasaya sürülen istismar, şimdi yama
Hacker güvenlik kusurunu sızdırdıktan sonra Darknet Pazarı ve Kapanır
Araştırmacılar Yeni VMware Auth Bypass için istismar yayınlayacak, şimdi Patch
Sahte Windows, Cobalt Strike ile Hedef Infosec topluluğundan yararlanıyor
Kaynak: Bleeping Computer