Zoho ManageEngine ADAudit Plus のバグ：Active Directory アカウント侵害にいたる

Zoho ManageEngine ADAudit Plus bug gets public RCE exploit

2022/07/01 BleepingComputer — セキュリティ研究者たちは、Active Directory のアクティビティを監視するツール Zoho ManageEngine ADAudit Plus に存在する、深刻な脆弱性 CVE-2022-28219 (CVSS：9.8)の技術詳細と概念実証のためのエクスプロイト・コードを公開した。この脆弱性により、未認証の攻撃者がリモートでコードを実行し、Active Directory のアカウントを侵害することが可能になる。Horizon3.ai のセキュリティ研究者 Naveen Sunkavally から報告を受けた Zoho は、３月末に ADAudit Plus build 7060 で、この問題に対処している。

リモートでコードを実行する

今週の初めに Horizon3.ai は、脆弱性 CVE-2022-28219 の技術的側面を説明するブログ記事を、調査結果を示す概念実証のエクスプロイト・コードとともに発表した。この脆弱性は、信頼されない Java のデシリアライゼーション／パストラバーサル／ブラインド XML External Entities (XXE) インジェクションという、３つの問題に起因しており、最終的には認証なしでリモートコードが実行されることになる。

Naveen Sunkavally は、サードパーティのチャート・ライブラリ Cewolf の CewolfRenderer サーブレットにより管理されているエンドポイントを発見した後に、調査を開始した。彼は、「この問題は、@steventseeley が ManageEngine Desktop Central に対して報告した脆弱性 CVE-2020-10189 と同じエンドポイントである。このライブラリの FileStorage クラスは、信頼されていない Java のデシリアライゼーションを通じてリモートコード実行に悪用された」と述べている。

このライブラリの詳細を見てみると、入力パスをサニタイズしていないため、ディスク上の任意の場所に Java ペイロードをデシリアライズする可能性があることが分かる。

認証の回避とログインの盗み出し

Sunkavally は、リモートでコードを実行する方法を見つけた後に、認証なしでファイルをアップロードする方法を探し始め、マシン上で動作するエージェントがセキュリティ・イベントをアップロードするために用いる、ADAudit Plus の一部のエンドポイントが認証を必要としないことを発見した。 つまり、それらのイベントを処理するために書かれた、数多くのビジネス・ロジックが存在するため、大きな攻撃対象が生じていることになる。

さらに Sunkavally は、Windows スケジュール・タスク XML コンテンツのイベント管理を担当する ProcessTrackingListener クラスに、ブラインド XXE の脆弱性を誘発させる方法を発見した。

彼は、Java のブラインド XXE 脆弱性を悪用することは困難であると指摘している。しかし、ADAudit Plus には古い Java ランタイムが同梱されており、ファイルのアップロードだけでなく、FTP によるファイル転送や、ディレクトリのリストアップが可能だったことで、彼の作業は容易になったという。つまり、ADAudit Plus のデフォルトは Java 8u051 であり、インストールされている Java ランタイムの 4分の3 が、古いバージョンを実行しているのだ。

Sunkavally の調査により、攻撃者は Java ランタイムのバージョンや XXE の脆弱性に関係なく、Windows マシン上で NTLM ハッシュを収集し、中継することも可能であることも判明した。

Sunkavally は、「Java HTTP クライアントが、認証に NTLM を必要とするサーバに接続した場合、NTLM による認証が試みられる」と説明している。Horizon3.ai は、一連の調査結果の妥当性を示すために、7060 以前の ManageEngine ADAudit Plus で CVE-2022-28219 を悪用し、Windows で電卓アプリを実行するコードを公開した。

また、脆弱な ADAudit Plus インスタンスを標的とする攻撃者は、Active Directory の認証情報を取得し、そのアクセス権を悪用し、ネットワーク上の全マシンにマルウェアを配布することも可能だ。

Sunkavally は、「ADAudit Plus は、認証情報を暗号化した状態で保存するが、研究者は、「暗号化をリバースした平文で、これらの認証情報にアクセスすることが可能だ」と述べている。通常、多くのユーザーは、ADAudit Plus を用いて監査活動を開始するために、ドメイン管理者の資格情報を使用する。したがって脅威アクターたちは、ログイン情報を取得し、それを悪用した攻撃が可能になる。

簡単な方法だが、制限された特権を持つ、別のサービス・アカウントを作成することが、より安全な方法となる。

ADAudit Plus で用いられる Java ランタイムが古く、ドメイン管理者のアカウントを用いて ADAudit Plus にログインするケースが多いことが、脆弱性 CVE-2022-28219 の悪用を助長するとのことです。Zoho に関しては、2022年1月17日の「Zoho ManageEngine Desktop Central の深刻な脆弱性 CVE-2021-44757 が FIX」以来の、重要な問題の指摘です。よろしければ、Zoho で検索も、ご利用ください。