IMBAUAN KEAMANAN KERENTANAN EKSEKUSI KODE JARAK JAUH PADA PRODUK ADAUDIT PLUS (CVE 2022-28219)

IMBAUAN KEAMANAN KERENTANAN EKSEKUSI KODE JARAK JAUH PADA PRODUK ADAUDIT PLUS (CVE 2022-28219)

Posted by : Admin , Aug 29, 2022

Pendahuluan

Pada tanggal 29 Juni 2022, Naveen Sunkavally dalam situsnya mengeluarkan artikel terkait kerentanan blind XML External Entities yang mengarah pada serangan eksekusi kode jarak jauh yang ditemukan pada produk ADAudit Plus versi sebelum 7060. Kerentanan ini didefinisikan sebagai CVE-2022-28219 yang mengizinkan penyerang tidak diautentikasi mengeksekusi kode secara jarak jauh dan melakukan compromise akun Active Directory.

Nilai Kerentanan

Berdasarkan CVSS 3.1, kerentanan ini memiliki nilai 9.8 yang dideskripsikan dengan CVE2022-28219 dan dikategorikan sebagai Critical.

Produk Terdampak

Produk yang terdampak oleh CVE-2022-28219 ditemukan pada produk ADAudit Plus dibawah versi 7060 yang berhubungan dengan Active Directory seperti ADManager Plus, ADSelfService Plus, dan ADAudit Plus.

Detail dan Dampak Kerentanan

CVE-2022-28219 termasuk dalam kategori kerentanan eksekusi jarak jauh yang tidak diautentikasi. Kerentanan ini memengaruhi perangkat compliance Zoho ManageEngine ADAudit Plus yang digunakan oleh suatu instansi/perusahaan untuk memantau aktifitas Active Directory. Beberapa isu terkait kerentanan ini yaitu, deserialisasi Java yang tidak dipercaya, path traversal, dan injeksi blind XML External Entities (XXE). Kerentanan ini dapat menyebabkan penyerang yang tidak diautentikasi mengeksekusi kode arbitrer dari jarak jauh di server ADAudit Plus. Para peneliti memulai investigasi terhadap kerentanan ini setelah menemukan endpoint yang dikelola oleh servlet CewolfRenderer di library pemetaan pihak ketiga Cewolf. Berdasarkan hasil investigasi pada library, peneliti menemukan bahwa library tersebut tidak diterapkan sanitasi pada input paths, dan adanya celah untuk melakukan deserialisasi payload Java pada beberapa tempat di disk. Setelah peneliti menemukan cara untuk melakukan eksekusi kode jarak jauh, selanjutnya mereka mulai mencari metode untuk mengunggah file tanpa perlu melakukan autentikasi terlebih dahulu dan menemukan beberapa endpoint ADAudit Plus untuk mengunggah event keamanan tanpa perlu melakukan autentikasi. Kemudian, peneliti menemukan cara untuk memicu kerentanan blind XXE pada kelas ProcessTrackingListener yang bertugas mengelola event dengan konten XML pada fitur tugas terjadwal Windows. Berdasarkan hasil investigasi ini pula, peneliti menemukan bahwa tiga perempat dari instalasi menjalankan versi Java runtime yang sudah lama.

Panduan Mitigasi

Untuk melakukan pencegahan terhadap kerentanan CVE-2022-28219, pengguna dapat melakukan pemutakhiran terhadap versi ADAudit Plus menjadi versi build 7060 atau versi terbaru.

Riwayat Dokumen

Versi Dokumen : 1.0
Tanggal Rilis : Senin, 4 Juli 2022

Referensi

  1.  “CVE-2022-28219 Detail” https://nvd.nist.gov/vuln/detail/CVE-2022-28219 (accessed June. 4, 2022)
  2. “[CVE-2022-28219] Unauthenticated Remote Code Execution vulnerability fixed in build 7060” https://www.manageengine.com/products/active-directory-audit/cve2022-28219.html (accessed June. 4,2022)
  3. “CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus” https://www.horizon3.ai/red-team-blog-cve-2022- 28219/ (accessed June. 4,2022)
  4. “Zoho ManageEngine ADAudit Plus bug gets public RCE exploit” https://www.bleepingcomputer.com/news/security/zoho-manageengine-adauditplus-bug-gets-public-rceexploit/#:~:text=The%20vulnerability%20allows%20an%20unauthenticated,of%209. 8%20out%20of%2010 (accessed June. 4, 2022)