CISA opfordrer brugere af Zohos ManageEngine ADSelfService Plus til at opdatere deres værktøjer og bemærker, at APT -aktører aktivt udnytter en nylig opdaget sårbarhed.
Zoho ManageEngine ADSelfService Plus build 6114, som Zoho udgav den 6. september 2021, løser sårbarheden.
ManageEngine ADSelfService Plus er en meget udbredt selvbetjeningsadgangskodehåndtering og enkelt login-løsning. Den kritiske bypass -sårbarhed påvirker URL'er til repræsentationstilstandsoverførsel (REST) applikationsprogrammeringsinterface (API), der kan muliggøre fjernudførelse af kode.
I en fælles rådgivning, der blev sendt ud i denne uge, sagde CISA, FBI og US Coast Guard Cyber Command, at APT -aktører allerede har målrettet “akademiske institutioner, forsvarsentreprenører og kritiske infrastrukturenheder i flere sektorer – herunder transport, IT, fremstilling, kommunikation , logistik og økonomi. “
Ifølge CISA er cyberkriminelle og nationalstater, der udnytter sårbarheden, i stand til at uploade en .zip-fil, der indeholder en JavaServer Pages (JSP) webskal, der udgør sig som et x509-certifikat: service .cer. Derfra fremsættes flere anmodninger til forskellige API -slutpunkter for yderligere at udnytte offerets system, ifølge rådgivningen.
“Efter den første udnyttelse er JSP-webskallen tilgængelig på /help/admin-guide/Reports/ReportGenerate.jsp. Angriberen forsøger derefter at bevæge sig sideværts ved hjælp af Windows Management Instrumentation (WMI), få adgang til en domænecontroller, dump NTDS .dit og SECURITY/SYSTEM registry hives, og derefter, derfra, fortsætter den kompromitterede adgang. Bekræftelse af et vellykket kompromis med ManageEngine ADSelfService Plus kan være svært-angriberne kører oprydningsscripts designet til at fjerne spor af det oprindelige kompromispunkt og skjule ethvert forhold mellem udnyttelsen af sårbarheden og webskallen, “forklarede CISA.
“Ulovligt opnået adgang og information kan forstyrre virksomhedens drift og undergrave amerikansk forskning i flere sektorer. Vellykket udnyttelse af sårbarheden gør det muligt for en angriber at placere netskaller, som gør det muligt for modstanderen at udføre aktiviteter efter udnyttelse, f.eks. som kompromitterende administratoroplysninger, gennemførelse af sideværts bevægelse og eksfiltrering af registreringsdatabaser og Active Directory -filer. ”
CISA tilføjede, at organisationer er nødt til at sikre, at ADSelfService ikke er direkte tilgængelig fra internettet, og den anbefalede “domæneomfattende adgangskode nulstilles og dobbelt Kerberos Ticket Granting Ticket (TGT) adgangskode nulstilles, hvis der er tegn på, at filen NTDS.dit var kompromitteret. “
Trusselsaktører har udnyttet sårbarheden siden august, og CISA sagde, at de havde set en række forskellige taktikker, der blev brugt til at udnytte fejlen, herunder ofte at skrive webskaller til disk til første vedholdenhed, tilsløre filer eller oplysninger, udføre yderligere operationer for at dumpe brugeren legitimationsoplysninger og mere.
Andre har brugt det til at tilføje eller slette brugerkonti, stjæle kopier af Active Directory -databasen, slette filer for at fjerne indikatorer fra værten og bruge Windows -værktøjer til at indsamle og arkivere filer til eksfiltrering.
Situationen er så alvorlig, at FBI sagde, at den “udnytter specialuddannede cyber-squads i hvert af sine 56 feltkontorer og CyWatch, FBI's døgnåbne operationscenter og vagtgulv, som giver support døgnet rundt til at spore hændelser og kommunikere med feltekontorer i hele landet og partnerbureauer. “
CISA tilbyder også berørte organisationer hjælp, og den amerikanske kystvagt Cyber Command sagde, at den leverer specifik cyberdækning til marin transportsystemets kritiske infrastruktur.
Oliver Tavakoli, CTO hos Vectra, sagde til ZDNet, at det er nøjagtigt så slemt, som det lyder at finde en kritisk sårbarhed i systemet, der skal hjælpe medarbejderne med at administrere og nulstille deres adgangskoder.
Selvom ADSelfService Plus -serveren ikke var tilgængelig fra internettet, ville den være tilgængelig fra enhver kompromitteret bærbar computer, bemærkede Tavakoli.
Han tilføjede, at det vil være dyrt at komme sig efter et angreb, fordi “Nulstil adgangskode til domæne og dobbelt nulstilling af adgangskode til Kerberos Ticket Granting Ticket (TGT)” er forstyrrende af sig selv. APT -grupperne kan have etableret andre midler til vedholdenhed i den mellemliggende tid, bemærkede han.
BreachQuest CTO Jake Williams sagde, at det var vigtigt, at organisationer noterer sig den hyppige brug af webskaller som en nyttelast efter udnyttelse.
“I dette tilfælde er trusselsaktører blevet observeret ved hjælp af webskaller, der var forklædt som certifikater. Denne form for aktivitet skal skille sig ud i webserverlogfiler – men kun hvis organisationer har en plan for registrering”, siger Williams sagde.
“I betragtning af at dette bestemt ikke vil være den sidste sårbarhed, der resulterer i implementering af web -shell, rådes organisationer til at baseline normal adfærd i deres webserver -logs, så de hurtigt kan opdage, hvornår en web -shell er blevet implementeret.”
Ligesom Digital Shadows senior cyber trussel intel analytiker Sean Nikkel forklarede andre eksperter, at dette problem er det femte eksempel på lignende, kritiske sårbarheder fra ManageEngine i år.
Disse sårbarheder er alvorlige, idet de tillader enten fjernudførelse af kode eller muligheden for at omgå sikkerhedskontroller, sagde Nikkel til ZDNet.
“Da tjenesten interagerer med Active Directory, kan det kun give dårlige ting at give angriberne adgang til at styre domænecontrollere eller andre tjenester. Angribere kan derefter drage fordel af at 'blande sig ind i støj' ved daglig systemaktivitet. Det er rimeligt at antage at der vil være en mere udbredt udnyttelse af dette og tidligere sårbarheder i betragtning af interaktiviteten med Microsoft -systemprocesser, “sagde han.
“Observationen af, at APT-grupper aktivt udnytter CVE-2021-40539, bør fremhæve den potentielle eksponering, det kan forårsage. Hvis tendensen er konsekvent, vil afpresningsgrupper sandsynligvis søge udnyttelse til ransomware-aktivitet i en ikke så fjern fremtid. Brugere af Zohos software skal straks anvende patches for at undgå de kompromisformer, der er beskrevet i CISA -bulletinen. “
Sårbarheden er en del af en større tendens til problemer med systemstyringssoftwareværktøjer. Vulcan Cyber CEO Yaniv Bar-Dayan sammenlignede det med nylige problemer med SolarWinds, Open Management Infrastructure (OMI), Salt og mere.
“I betragtning af mængden af adgang og kontrol, disse værktøjer har, er det afgørende, at it -sikkerhedsteam tager øjeblikkelige skridt til at afhjælpe fuldstændigt. Zoho har en patch, men det er bare en patch til en sårbar komponent af, hvad der er en flerlags, avanceret vedvarende trussel, “tilføjede Yaniv Bar-Dayan.
“Anvend patchen, men sørg også for at fjerne direkte adgang til ManageEngine -software fra Internettet, hvor det er muligt. Hvis APT -grupper får adgang til systemstyringsværktøjer, får de nøglerne til kongeriget. Flyt hurtigt.”
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at stoppe angreb, der bliver værre? (ZDNet YouTube)
Relaterede emner:
Netværkssikkerhed TV -datastyring CXO -datacentre 