FBI og Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) advarer om 'aktiv udnyttelse' af en fejl i Zoho ManageEngine ServiceDesk Plus før 11306.
“Zoho ManageEngine ServiceDesk Plus før 11306, ServiceDesk Plus MSP før 10530 og SupportCenter Plus før 11014 er sårbare over for uautoriseret fjernudførelse af kode. Dette er relateret til /RestAPI URL'er i en servlet og ImportTechnicians i Struts-konfigurationen,” og FBI CISA og FBI CISA note om sårbarheden sporet som CVE-2021-44077.
CISA og FBI's advarsel advarer om, at organisationer, der ikke har anvendt Zoho-patches til Zoho ServiceDesk Plus version 11306 og nyere, er sårbare over for angribere, der installerer web-shells, som er farlige, fordi de fortsætter på et system, selv efter at have installeret sikkerhedsopdateringer.
SE: Hackere bruger denne enkle teknik til at installere deres malware på pc'er
Sårbarheden har også konsekvenser for organisationer, der bruger Microsofts Windows-identitetsplatform, Active Directory.
“FBI og CISA vurderer, at avancerede persistent trussel (APT) cyberaktører er blandt dem, der udnytter sårbarheden,” siger CISA.
“Hvis den ikke er rettet, giver succesfuld udnyttelse af sårbarheden en hacker mulighed for at uploade eksekverbare filer og placere webshells, der muliggør aktiviteter efter udnyttelse, såsom at kompromittere administratorlegitimationsoplysninger, udføre sideværts bevægelse og eksfiltrere registreringsdatabasen og Active Directory-filer.”
I mellemtiden siger Zoho i sin meddelelse: “Denne sårbarhed giver en hacker mulighed for at få uautoriseret adgang til applikationens data gennem nogle få af dens applikations-URL'er. For at gøre det skal en angriber manipulere enhver sårbar applikations-URL sti fra aktivmodulet med en korrekt tegnsæterstatning.
“Denne URL kan omgå godkendelsesprocessen og hente de nødvendige data til hackeren, hvilket giver hackeren mulighed for at få uautoriseret adgang til brugerdata eller udføre efterfølgende angreb.”
Microsoft rejste en alarm i denne måned om mistænkte kinesere hackere, der er målrettet mod Windows-maskiner, der kører Zoho ManageEngine ADSelfService Plus, en selvbetjeningsadgangskodeadministration og single sign-on-løsning. Det blev sporet som CVE-2021-40539.
Ifølge sikkerhedsfirmaet Palo Altos Unit 42 bliver de to sårbarheder højst sandsynligt brugt af en kinesisk cyberspionagegruppe. Den sagde, at mindst 13 organisationer på tværs af teknologi-, energi-, sundheds-, uddannelses-, finans- og forsvarsindustrien er blevet kompromitteret i løbet af de sidste tre måneder.
“Af de fire nye ofre blev to kompromitteret gennem sårbar ADSelfService Plus-servere, mens to blev kompromitteret gennem ServiceDesk Plus-software. Vi forventer, at dette antal vil stige, efterhånden som skuespilleren fortsætter med at udføre rekognosceringsaktiviteter mod disse industrier og andre, inklusive infrastruktur forbundet med fem amerikanske stater,” sagde forskerne.
< h3 class="heading"> Enterprise Software
Windows 11: Sådan får du Microsofts gratis opdatering af operativsystemet De bedste Linux-distros for begyndere i 2021 Windows 10 er en sikkerhedskatastrofe, der venter på at ske. Hvordan vil Microsoft rydde op i sit rod? AWS omfavner Fedora Linux for sin cloud-baserede Amazon Linux Cloud | Big Data Analytics | Innovation | Teknik og arbejde | Samarbejde | Udvikler