CISA dringt er bij gebruikers van Zoho's ManageEngine ADSelfService Plus op aan om hun tools bij te werken, waarbij wordt opgemerkt dat APT-actoren actief misbruik maken van een recent ontdekte kwetsbaarheid.
Zoho ManageEngine ADSelfService Plus build 6114, die Zoho op 6 september 2021 uitbracht, verhelpt de kwetsbaarheid.
ManageEngine ADSelfService Plus is een veelgebruikte selfservice-oplossing voor wachtwoordbeheer en eenmalige aanmelding. De kritieke kwetsbaarheid voor het omzeilen van authenticatie beïnvloedt de API-URL's (Representational State Transfer) van de Application Programming Interface (API) die uitvoering van externe code mogelijk kunnen maken.
In een gezamenlijk advies dat deze week werd verzonden, zeiden CISA, de FBI en het US Coast Guard Cyber Command dat APT-actoren zich al hebben gericht op “academische instellingen, defensieaannemers en kritieke infrastructuurentiteiten in meerdere industriële sectoren – waaronder transport, IT, productie, communicatie , logistiek en financiën.”
Volgens CISA kunnen cybercriminelen en natiestaten die misbruik maken van de kwetsbaarheid een .zip-bestand uploaden met een JavaServer Pages (JSP) webshell die zich voordoet als een x509-certificaat: service .cer. Van daaruit worden volgens het advies meer verzoeken gedaan aan verschillende API-eindpunten om het systeem van het slachtoffer verder te exploiteren.
“Na de eerste exploitatie is de JSP-webshell toegankelijk via /help/admin-guide/Reports/ReportGenerate.jsp. De aanvaller probeert vervolgens zijwaarts te bewegen met behulp van Windows Management Instrumentation (WMI), toegang te krijgen tot een domeincontroller, NTDS te dumpen .dit en SECURITY/SYSTEM registercomponenten, en van daaruit gaat het verder met de gecompromitteerde toegang.Het bevestigen van een succesvolle inbreuk op ManageEngine ADSelfService Plus kan moeilijk zijn – de aanvallers voeren opruimscripts uit die zijn ontworpen om sporen van het eerste punt van inbreuk te verwijderen en elke relatie tussen de exploitatie van de kwetsbaarheid en de webshell te verbergen”, legt CISA uit.
“Illegaal verkregen toegang en informatie kan bedrijfsactiviteiten verstoren en Amerikaans onderzoek in meerdere sectoren ondermijnen. Door succesvol misbruik te maken van de kwetsbaarheid kan een aanvaller webshells plaatsen, waardoor de tegenstander post-exploitatieactiviteiten kan uitvoeren, zoals als het compromitteren van beheerdersreferenties, het uitvoeren van zijwaartse verplaatsingen en het exfiltreren van registerkasten en Active Directory-bestanden.”
CISA voegde eraan toe dat organisaties ervoor moeten zorgen dat ADSelfService niet rechtstreeks toegankelijk is vanaf internet en de aanbevolen “domeinbrede wachtwoordresets en dubbele Kerberos Ticket Granting Ticket (TGT) -wachtwoorden opnieuw instellen als er aanwijzingen zijn dat het NTDS.dit-bestand is gecompromitteerd. “
Bedreigingsactoren misbruiken het beveiligingslek sinds augustus en CISA zei dat ze verschillende tactieken hadden gezien die werden gebruikt om van de fout te profiteren, waaronder het vaak schrijven van webshells naar schijf voor aanvankelijke persistentie, het verduisteren van bestanden of informatie, het uitvoeren van verdere bewerkingen om gebruikers te dumpen geloofsbrieven en meer.
Anderen hebben het gebruikt om gebruikersaccounts toe te voegen of te verwijderen, kopieën van de Active Directory-database te stelen, bestanden te verwijderen om indicatoren van de host te verwijderen en Windows-hulpprogramma's te gebruiken om bestanden te verzamelen en te archiveren voor ondervraging.
De situatie is zo ernstig dat de FBI zei dat het gebruikmaakt van speciaal opgeleide cyberteams in elk van zijn 56 veldkantoren en CyWatch, het 24/7 operatiecentrum en de wachtvloer van de FBI, dat 24 uur per dag ondersteuning biedt om incidenten en communiceren met veldkantoren in het hele land en partneragentschappen.”
CISA biedt ook hulp aan getroffen organisaties, en het US Coast Guard Cyber Command zei dat het specifieke cyberdekking biedt voor kritieke infrastructuur van zeetransportsystemen.
p>
Oliver Tavakoli, CTO bij Vectra, vertelde ZDNet dat het vinden van een kritieke kwetsbaarheid in het systeem bedoeld om werknemers te helpen hun wachtwoorden te beheren en opnieuw in te stellen “precies zo erg is als het klinkt”.
Zelfs als de ADSelfService Plus-server niet toegankelijk zou zijn vanaf internet, zou deze toegankelijk zijn vanaf elke gecompromitteerde laptop, merkte Tavakoli op.
Hij voegde eraan toe dat herstellen van een aanval duur zal zijn omdat “domeinbrede wachtwoordherstel en dubbele Kerberos Ticket Granting Ticket (TGT) wachtwoordherstel” zijn op zichzelf al storend. De APT-groepen hebben in de tussenliggende tijd mogelijk andere middelen van volharding ontwikkeld, merkte hij op.
BreachQuest CTO Jake Williams zei dat het belangrijk is dat organisaties het frequente gebruik van webshells als payload na exploitatie opmerken.
“In dit geval zijn bedreigingsactoren waargenomen die webshells gebruikten die waren vermomd als certificaten. Dit soort activiteiten zouden op moeten vallen in webserverlogboeken, maar alleen als organisaties een plan voor detectie hebben”, Williams zei.
“Aangezien dit zeker niet de laatste kwetsbaarheid zal zijn die resulteert in de implementatie van een webshell, wordt organisaties geadviseerd om normaal gedrag in hun webserverlogboeken te baseren, zodat ze snel kunnen ontdekken wanneer een webshell is geïmplementeerd.”
Net als Sean Nikkel, senior cyberbedreigingsintel-analist van Digital Shadows, legden andere experts uit dat dit probleem het vijfde geval is van soortgelijke, kritieke kwetsbaarheden van ManageEngine dit jaar.
Deze kwetsbaarheden zijn ernstig omdat ze het mogelijk maken om op afstand code uit te voeren of om beveiligingscontroles te omzeilen, vertelde Nikkel aan ZDNet.
“Omdat de service interageert met Active Directory, kan het geven van toegang aan aanvallers alleen maar leiden tot slechte dingen, zoals het besturen van domeincontrollers of andere services. Aanvallers kunnen dan profiteren van 'opgaan in de ruis' van dagelijkse systeemactiviteit. Het is redelijk om aan te nemen dat er meer wijdverbreide exploitatie van deze en eerdere kwetsbaarheden zal zijn, gezien de interactiviteit met Microsoft-systeemprocessen”, zei hij.
“De observatie dat APT-groepen actief misbruik maken van CVE-2021-40539, zou de mogelijke blootstelling die het kan veroorzaken, moeten benadrukken. Als de trends consistent zijn, zullen afpersingsgroepen waarschijnlijk in de niet zo verre toekomst exploiteren voor ransomware-activiteiten. Gebruikers van Zoho's software moet onmiddellijk patches toepassen om de soorten compromissen die worden beschreven in het CISA-bulletin te voorkomen.”
De kwetsbaarheid maakt deel uit van een grotere trend van problemen die worden gevonden met softwaretools voor systeembeheer. Vulcan Cyber CEO Yaniv Bar-Dayan vergeleek het met recente problemen met SolarWinds, Open Management Infrastructure (OMI), Salt en meer.
“Gezien de hoeveelheid toegang en controle die deze tools hebben, is het van cruciaal belang dat IT-beveiligingsteams onmiddellijk stappen ondernemen om dit volledig te verhelpen. Zoho heeft een patch, maar het is slechts een patch voor een kwetsbaar onderdeel van wat een meerlagige, geavanceerde aanhoudende dreiging”, voegde Yaniv Bar-Dayan eraan toe.
“Pas de patch toe, maar zorg er ook voor dat directe toegang tot ManageEngine-software vanaf internet waar mogelijk wordt geëlimineerd. Als APT-groepen toegang krijgen tot systeembeheertools, krijgen ze de sleutels van het koninkrijk. Snel handelen.”
Beveiliging
T-Mobile hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Netwerkbeveiliging Tv-gegevensbeheer CXO-datacenters 