CISA uppmanar användare av Zohos ManageEngine ADSelfService Plus att uppdatera sina verktyg och noterar att APT -aktörer aktivt utnyttjar en nyligen upptäckt sårbarhet.
Zoho ManageEngine ADSelfService Plus build 6114, som Zoho släppte den 6 september 2021, åtgärdar sårbarheten.
ManageEngine ADSelfService Plus är en allmänt använd lösenordshantering för självbetjäning och enkel inloggningslösning. Den kritiska autentisering -förbikopplingsproblemet påverkar representationsstatusöverföring (REST) applikationsprogrammeringsgränssnitt (API) URL: er som kan möjliggöra fjärrkörning.
I en gemensam rådgivning som skickades ut i veckan sa CISA, FBI och US Coast Guard Cyber Command att APT -aktörer redan har riktat in sig på “akademiska institutioner, försvarsentreprenörer och kritiska infrastrukturenheter inom flera industrisektorer – inklusive transport, IT, tillverkning, kommunikation , logistik och finans. “
Enligt CISA kan cyberkriminella och nationalstater som utnyttjar sårbarheten ladda upp en .zip-fil som innehåller ett JavaServer Pages (JSP) -skal som maskeras som ett x509-certifikat: tjänst .cer. Därifrån görs fler förfrågningar till olika API -slutpunkter för att ytterligare utnyttja offrets system, enligt rådgivningen.
“Efter den första exploateringen är JSP-webbskalet tillgängligt på /help/admin-guide/Reports/ReportGenerate.jsp. Angriparen försöker sedan flytta i sidled med Windows Management Instrumentation (WMI), få åtkomst till en domänkontrollant, dumpa NTDS .dit och SECURITY/SYSTEM-registret, och sedan, därifrån, fortsätter den komprometterade åtkomsten. Det kan vara svårt att bekräfta en lyckad kompromiss med ManageEngine ADSelfService Plus-angriparna kör saneringsskript som är utformade för att ta bort spår av den första kompromisspunkten och dölja alla förhållanden mellan utnyttjandet av sårbarheten och webbskalet “, förklarade CISA.
“Olagligt erhållen åtkomst och information kan störa företagets verksamhet och undergräva amerikansk forskning inom flera sektorer. Framgångsrikt utnyttjande av sårbarheten gör att en angripare kan placera webbskal som gör att motståndaren kan utföra aktiviteter efter exploatering, t.ex. som att kompromissa med administratörsuppgifter, genomföra sidoförflyttning och exfiltrera registret och Active Directory -filer. ”
CISA tillade att organisationer måste se till att ADSelfService inte är direkt tillgängligt från internet och de rekommenderade “domänövergripande lösenordet återställs och dubbla Kerberos Ticket Granting Ticket (TGT) lösenord återställs om det finns någon indikation på att filen NTDS.dit har äventyrats. “
Hotaktörer har utnyttjat sårbarheten sedan augusti, och CISA sa att de hade sett en mängd olika taktiker som använts för att dra nytta av bristen, inklusive att ofta skriva webbskal på hårddisken för första uthållighet, dölja filer eller information, genomföra ytterligare operationer för att dumpa användare referenser och mer.
Andra har använt det för att lägga till eller ta bort användarkonton, stjäla kopior av Active Directory -databasen, ta bort filer för att ta bort indikatorer från värden och använda Windows -verktyg för att samla in och arkivera filer för exfiltrering.
Situationen är så allvarlig att FBI sa att den “utnyttjar specialutbildade cybergrupper i vart och ett av sina 56 fältkontor och CyWatch, FBI: s 24/7 operationscenter och klockgolv, som ger support dygnet runt för att spåra incidenter och kommunicera med fältkontor över hela landet och partnerbyråer. “
CISA erbjuder också drabbade organisationer hjälp, och det amerikanska kustbevakningens cyberkommando sa att det tillhandahåller specifik cyber -täckning för marin transportsystems kritiska infrastruktur.
Oliver Tavakoli, CTO på Vectra, sa till ZDNet att det är precis så illa som det låter att hitta en kritisk sårbarhet i systemet som är avsett att hjälpa anställda att hantera och återställa sina lösenord.
Även om ADSelfService Plus -servern inte var tillgänglig från internet, skulle den vara tillgänglig från alla bärbara datorer, konstaterade Tavakoli.
Han tillade att det blir dyrt att återhämta sig från en attack eftersom “domänomfattande lösenordsåterställningar och dubbla Kerberos Ticket Granting Ticket (TGT) lösenordsåterställningar” är störande av sig själva. APT -grupperna kan ha etablerat andra medel för uthållighet under den mellanliggande tiden, noterade han.
BreachQuest CTO Jake Williams sa att det var viktigt att organisationer noterar den frekventa användningen av webbskal som en nyttolast efter exploatering.
“I det här fallet har hotaktörer observerats med hjälp av webbskal som var förklädda som certifikat. Denna typ av aktivitet bör sticka ut i webbserverloggar – men bara om organisationer har en plan för upptäckt,” Williams sa.
“Med tanke på att detta säkert inte kommer att vara den sista sårbarheten som resulterar i distribution av webbskal, rekommenderas organisationer att baslinjera normalt beteende i sina webbserverloggar så att de snabbt kan upptäcka när ett webbskal har distribuerats.”
Precis som Digital Shadows senior cyberhot intelanalytiker Sean Nikkel förklarade andra experter att denna fråga är den femte förekomsten av liknande, kritiska sårbarheter från ManageEngine i år.
Dessa sårbarheter är allvarliga genom att de tillåter antingen fjärrkörning av kod eller möjligheten att kringgå säkerhetskontroller, sa Nikkel till ZDNet.
“Eftersom tjänsten interagerar med Active Directory kan det att ge angripare åtkomst bara leda till dåliga saker, till exempel att styra domänkontrollanter eller andra tjänster. Angripare kan sedan dra nytta av att” smälta in i bullret “i vardaglig systemaktivitet. Det är rimligt att anta att det kommer att bli ett mer omfattande utnyttjande av detta och tidigare sårbarheter med tanke på interaktiviteten med Microsofts systemprocesser, säger han.
“Observationen att APT-grupper aktivt utnyttjar CVE-2021-40539 bör belysa den potentiella exponering det kan orsaka. Om trenderna är konsekventa kommer utpressningsgrupper sannolikt att söka utnyttjande för ransomware-aktivitet inom en inte så avlägsen framtid. Användare av Zohos programvara bör omedelbart applicera patchar för att undvika de kompromisser som beskrivs i CISA -bulletinen. “
Sårbarheten är en del av en större trend med problem med systemhanteringsverktyg. Vulcan Cyber VD Yaniv Bar-Dayan jämförde det med senaste problem med SolarWinds, Open Management Infrastructure (OMI), Salt och mer.
“Med tanke på mängden åtkomst och kontroll som dessa verktyg har är det avgörande att IT -säkerhetsteam vidtar omedelbara åtgärder för att åtgärda helt. Zoho har en patch, men det är bara en patch för en sårbar del av vad som är ett mångfasetterat, avancerat ihållande hot ”, tillade Yaniv Bar-Dayan.
“Applicera korrigeringsfilen, men se också till att eliminera direktåtkomst till ManageEngine -programvara från Internet där det är möjligt. Om APT -grupper får tillgång till systemhanteringsverktyg får de nycklarna till riket. Flytta snabbt.”
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN-recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Nätverkssäkerhet TV -datahantering CXO -datacenter 