CISA oppfordrer brukere av Zohos ManageEngine ADSelfService Plus til å oppdatere verktøyene sine, og merker at APT -aktører aktivt utnytter et nylig oppdaget sårbarhet.
Zoho ManageEngine ADSelfService Plus build 6114, som Zoho ga ut 6. september 2021, løser sårbarheten.
ManageEngine ADSelfService Plus er en mye brukt selvbetjent passordbehandling og enkelt påloggingsløsning. Sårbarheten for kritisk autentisering går ut over URL -adresser for programmeringsgrensesnitt (REST) for representasjonsstatusoverføring (REST) som kan muliggjøre ekstern kjøring av kode.
I en felles rådgivning som ble sendt ut denne uken, sa CISA, FBI og US Coast Guard Cyber Command at APT -aktører allerede har målrettet “akademiske institusjoner, forsvarskontraktører og kritiske infrastrukturenheter i flere sektorer – inkludert transport, IT, produksjon, kommunikasjon , logistikk og finans. “
I følge CISA kan nettkriminelle og nasjonalstater som utnytter sårbarheten laste opp en .zip-fil som inneholder et JavaServer Pages (JSP) nettskall som utgjør et x509-sertifikat: service .cer. Derfra blir det fremsatt flere forespørsler til forskjellige API -endepunkter for å utnytte offerets system ytterligere, ifølge rådgivningen.
“Etter den første utnyttelsen er JSP-nettskallet tilgjengelig på /help/admin-guide/Reports/ReportGenerate.jsp. Angriperen prøver deretter å bevege seg lateralt ved hjelp av Windows Management Instrumentation (WMI), få tilgang til en domenekontroller, dumpe NTDS .dit og SECURITY/SYSTEM registry hives, og deretter, derfra, fortsetter den kompromitterte tilgangen. Bekreftelse av et vellykket kompromiss av ManageEngine ADSelfService Plus kan være vanskelig-angriperne kjører oppryddingsskript designet for å fjerne spor av det første kompromisspunktet og skjule ethvert forhold mellom utnyttelsen av sårbarheten og nettskallet, “forklarte CISA.
“Ulovlig innhentet tilgang og informasjon kan forstyrre selskapets virksomhet og undergrave amerikansk forskning i flere sektorer. Vellykket utnyttelse av sårbarheten gjør at en angriper kan plassere nettskall, slik at motstanderen kan utføre aktiviteter etter utnyttelse, slik som som å gå på kompromiss med administratorens legitimasjon, utføre lateral bevegelse og eksfiltrere registret og Active Directory -filer. ”
CISA la til at organisasjoner må sørge for at ADSelfService ikke er direkte tilgjengelig fra internett og at det anbefalte “passordet for hele domenet tilbakestilles og at dobbelt Kerberos Ticket Granting Ticket (TGT) passord tilbakestilles hvis det blir funnet en indikasjon på at NTDS.dit-filen ble kompromittert. “
Trusselaktører har utnyttet sårbarheten siden august, og CISA sa at de hadde sett en rekke taktikker som ble brukt for å dra nytte av feilen, inkludert å ofte skrive nettskall til disk for å holde den i gang, skjule filer eller informasjon, utføre ytterligere operasjoner for å dumpe brukeren legitimasjon og mer.
Andre har brukt den til å legge til eller slette brukerkontoer, stjele kopier av Active Directory -databasen, slette filer for å fjerne indikatorer fra verten og bruke Windows -verktøy for å samle og arkivere filer for eksfiltrering.
Situasjonen er så alvorlig at FBI sa at den “utnytter spesialutdannede cyber-tropper i hvert av sine 56 feltkontorer og CyWatch, FBIs døgnåpne operasjonssenter og vaktgulv, som gir støtte døgnet rundt for å spore hendelser og kommunisere med feltkontorer over hele landet og partnerbyråer. “
CISA tilbyr også berørte organisasjoner hjelp, og US Coast Guard Cyber Command sa at den tilbyr spesifikk cyberdekning for marin transportsystems kritiske infrastruktur.
Oliver Tavakoli, CTO i Vectra, sa til ZDNet at det å finne et kritisk sårbarhet i systemet som skal hjelpe ansatte med å administrere og tilbakestille passordene sine “er akkurat så ille som det høres ut.”
Selv om ADSelfService Plus -serveren ikke var tilgjengelig fra internett, ville den være tilgjengelig fra en hvilken som helst kompromittert bærbar datamaskin, bemerket Tavakoli.
Han la til at det vil bli dyrt å komme seg etter et angrep fordi “tilbakestilling av passord for hele domenet og dobbelt tilbakestilling av Kerberos Ticket Granting Ticket (TGT)” er forstyrrende av seg selv. APT -gruppene kan ha etablert andre midler for utholdenhet i mellomtiden, bemerket han.
BreachQuest CTO Jake Williams sa at det var viktig at organisasjoner noterer seg hyppig bruk av nettskall som nyttelast etter utnyttelse.
“I dette tilfellet har trusselsaktører blitt observert ved bruk av nettskall som var forkledd som sertifikater. Denne typen aktivitet bør skille seg ut i webserverlogger – men bare hvis organisasjoner har en plan for gjenkjenning,” sier Williams sa.
“Gitt at dette absolutt ikke vil være det siste sikkerhetsproblemet som resulterer i distribusjon av nettskall, rådes organisasjoner til å basere normal oppførsel i webserverloggene sine, slik at de raskt kan oppdage når et nettskall er distribuert.”
I likhet med Digital Shadows senior cyber trussel intel analytiker Sean Nikkel, forklarte andre eksperter at dette problemet er den femte forekomsten av lignende, kritiske sårbarheter fra ManageEngine i år.
Disse sårbarhetene er alvorlige ved at de tillater enten ekstern kjøring av kode eller muligheten til å omgå sikkerhetskontroller, sa Nikkel til ZDNet.
“Siden tjenesten samhandler med Active Directory, kan det å gi angripere tilgang bare føre til dårlige ting, for eksempel å kontrollere domenekontrollere eller andre tjenester. Angriperne kan deretter dra fordel av å” blande seg inn i støyen “i daglig systemaktivitet. Det er rimelig å anta at det vil bli mer utbredt utnyttelse av dette og tidligere sårbarheter gitt interaktiviteten med Microsofts systemprosesser, sa han.
“Observasjonen om at APT-grupper aktivt utnytter CVE-2021-40539 bør markere den potensielle eksponeringen den kan forårsake. Hvis trendene er konsistente, vil utpressingsgrupper sannsynligvis søke utnyttelse for ransomware-aktivitet i en ikke så fjern fremtid. Brukere av Zohos programvare bør bruke oppdateringer umiddelbart for å unngå kompromisstyper som er beskrevet i CISA -bulletinen. “
Sårbarheten er en del av en større trend med problemer med systemstyringsverktøy. Vulcan Cyber-sjef Yaniv Bar-Dayan sammenlignet det med nylige problemer med SolarWinds, Open Management Infrastructure (OMI), Salt og mer.
“Med tanke på hvor mye tilgang og kontroll disse verktøyene har, er det avgjørende at IT -sikkerhetsteamene tar umiddelbare skritt for å rette opp fullt ut. Zoho har en oppdatering, men det er bare en oppdatering for en sårbar komponent av det som er en flerlags, avansert vedvarende trussel, “la Yaniv Bar-Dayan til.
“Bruk oppdateringen, men sørg også for å eliminere direkte tilgang til ManageEngine -programvare fra Internett der det er mulig. Hvis APT -grupper får tilgang til systemadministrasjonsverktøy, får de nøklene til riket. Flytt raskt.”
Sikkerhet
T-Mobile-hack: Alt du trenger å vite Surfshark VPN-anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Truselen mot ransomware vokser: Hva må skje for å stoppe angrepene som blir verre? (ZDNet YouTube)
Relaterte emner:
Nettverk Sikkerhet TV Datahåndtering CXO datasentre 