CISA invita gli utenti di ManageEngine ADSelfService Plus di Zoho ad aggiornare i propri strumenti, rilevando che gli attori di APT stanno attivamente sfruttando una vulnerabilità scoperta di recente.
Zoho ManageEngine ADSelfService Plus build 6114, che Zoho ha rilasciato il 6 settembre 2021, corregge la vulnerabilità.
ManageEngine ADSelfService Plus è una soluzione self-service di gestione delle password e single sign-on ampiamente utilizzata. La vulnerabilità di bypass dell'autenticazione critica interessa gli URL dell'API (Application Programming Interface) REST (Representational State Transfer) che potrebbero consentire l'esecuzione di codice remoto.
In un avviso congiunto inviato questa settimana, CISA, FBI e US Coast Guard Cyber Command hanno affermato che gli attori dell'APT hanno già preso di mira “istituzioni accademiche, appaltatori della difesa ed entità di infrastrutture critiche in più settori industriali, tra cui trasporti, IT, produzione, comunicazioni. , logistica e finanza.”
Secondo CISA, i criminali informatici e gli stati nazionali che sfruttano la vulnerabilità sono in grado di caricare un file .zip contenente una shell Web JavaServer Pages (JSP) mascherata da certificato x509: servizio .cer. Da lì, vengono fatte più richieste a diversi endpoint API per sfruttare ulteriormente il sistema della vittima, secondo l'avviso.
“Dopo lo sfruttamento iniziale, la web shell JSP è accessibile in /help/admin-guide/Reports/ReportGenerate.jsp. L'aggressore tenta quindi di spostarsi lateralmente utilizzando Strumentazione gestione Windows (WMI), ottenere l'accesso a un controller di dominio, scaricare NTDS .dit e hive del registro SECURITY/SYSTEM, e quindi, da lì, continua l'accesso compromesso Confermare una compromissione riuscita di ManageEngine ADSelfService Plus può essere difficile: gli aggressori eseguono script di pulizia progettati per rimuovere le tracce del punto iniziale di compromissione e nascondere qualsiasi relazione tra lo sfruttamento della vulnerabilità e la shell web”, ha spiegato CISA.
“L'accesso e le informazioni ottenute illecitamente possono interrompere le operazioni dell'azienda e sovvertire la ricerca statunitense in più settori. Il successo dello sfruttamento della vulnerabilità consente a un utente malintenzionato di posizionare shell Web, che consentono all'avversario di condurre attività post-sfruttamento, come come compromettere le credenziali dell'amministratore, condurre spostamenti laterali ed esfiltrare alveari di registro e file di Active Directory.”
CISA ha aggiunto che le organizzazioni devono garantire che ADSelfService non sia direttamente accessibile da Internet e le “reimpostazioni della password a livello di dominio consigliate e la doppia password Kerberos Ticket Granting Ticket (TGT) vengono reimpostate se viene rilevata una qualsiasi indicazione che il file NTDS.dit è stato compromesso. “
Gli attori delle minacce stanno sfruttando la vulnerabilità da agosto e CISA ha affermato di aver visto una varietà di tattiche utilizzate per sfruttare il difetto, tra cui la scrittura frequente di shell Web su disco per la persistenza iniziale, l'offuscamento di file o informazioni, lo svolgimento di ulteriori operazioni per scaricare l'utente credenziali e altro ancora.
Altri lo hanno utilizzato per aggiungere o eliminare account utente, rubare copie del database di Active Directory, eliminare file per rimuovere indicatori dall'host e utilizzare le utilità di Windows per raccogliere e archiviare file per l'esfiltrazione.
La situazione è così grave che l'FBI ha affermato che sta “sfruttando squadre informatiche appositamente addestrate in ciascuno dei suoi 56 uffici sul campo e CyWatch, il centro operativo 24 ore su 24, 7 giorni su 7 e l'area di osservazione dell'FBI, che fornisce supporto 24 ore su 24 per tenere traccia degli incidenti e comunicare con gli uffici sul campo in tutto il paese e le agenzie partner.”
CISA offre anche assistenza alle organizzazioni interessate e il Cyber Command della Guardia Costiera degli Stati Uniti ha affermato che sta fornendo una copertura informatica specifica per le infrastrutture critiche del sistema di trasporto marittimo.
Oliver Tavakoli, CTO di Vectra, ha dichiarato a ZDNet che trovare una vulnerabilità critica nel sistema destinata ad aiutare i dipendenti a gestire e reimpostare le password “è esattamente così grave come sembra”.
Anche se il server ADSelfService Plus non fosse accessibile da Internet, sarebbe accessibile da qualsiasi laptop compromesso, ha osservato Tavakoli.
Ha aggiunto che il ripristino da un attacco sarà costoso perché “le reimpostazioni delle password a livello di dominio e le doppie reimpostazioni delle password Kerberos Ticket Granting Ticket (TGT)” sono di per sé dannose. I gruppi dell'APT potrebbero aver stabilito altri mezzi di persistenza nel frattempo, ha osservato.
Il CTO di BreachQuest, Jake Williams, ha affermato che è importante che le organizzazioni notino l'uso frequente di shell Web come payload post-sfruttamento.
“In questo caso, gli attori delle minacce sono stati osservati utilizzando shell web camuffate da certificati. Questo tipo di attività dovrebbe risaltare nei log del server web, ma solo se le organizzazioni hanno un piano per il rilevamento”, Williams disse.
“Dato che questa non sarà certamente l'ultima vulnerabilità che si traduce nell'implementazione di una shell Web, si consiglia alle organizzazioni di basare il comportamento normale nei registri del server Web in modo che possano scoprire rapidamente quando è stata implementata una shell Web.”
Come Sean Nikkel, analista senior di Digital Shadows per le minacce informatiche, altri esperti hanno spiegato che questo problema è la quinta istanza di vulnerabilità simili e critiche di ManageEngine quest'anno.
Queste vulnerabilità sono gravi in quanto consentono l'esecuzione di codice in remoto o la capacità di aggirare i controlli di sicurezza, ha detto Nikkel a ZDNet.
“Dal momento che il servizio interagisce con Active Directory, concedere l'accesso agli aggressori può solo portare a cose negative, come il controllo dei controller di dominio o altri servizi. Gli aggressori possono quindi trarre vantaggio dalla “mescolanza con il rumore” dell'attività quotidiana del sistema. È ragionevole presumere che ci sarà uno sfruttamento più diffuso di questa e delle precedenti vulnerabilità data l'interattività con i processi di sistema Microsoft”, ha affermato.
“L'osservazione che i gruppi APT stanno sfruttando attivamente CVE-2021-40539 dovrebbe evidenziare la potenziale esposizione che potrebbe causare. Se le tendenze sono coerenti, i gruppi di estorsione probabilmente cercheranno lo sfruttamento per attività ransomware in un futuro non così lontano. Gli utenti del software di Zoho dovrebbe applicare le patch immediatamente per evitare i tipi di compromissione descritti nel bollettino CISA.”
La vulnerabilità fa parte di una tendenza più ampia di problemi riscontrati con gli strumenti software di gestione dei sistemi. Il CEO di Vulcan Cyber Yaniv Bar-Dayan lo ha confrontato con i recenti problemi con SolarWinds, Open Management Infrastructure (OMI), Salt e altro.
“Considerando la quantità di accesso e controllo di questi strumenti, è fondamentale che i team di sicurezza IT adottino misure immediate per rimediare completamente. Zoho ha una patch, ma è solo una patch per un componente vulnerabile di ciò che è una minaccia avanzata e multilivello”, ha aggiunto Yaniv Bar-Dayan.
“Applica la patch, ma assicurati anche di eliminare l'accesso diretto al software ManageEngine da Internet, ove possibile. Se i gruppi APT ottengono l'accesso agli strumenti di gestione dei sistemi, ottengono le chiavi del regno. Muoviti rapidamente.”
Sicurezza
T-Mobile hack: tutto ciò che devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Cyber security 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Sicurezza delle reti TV Gestione dei dati CXO Data Center 