FBI-advarsel: Hackere sikter mot denne feilen i Zoho ManageEngine ServiceDesk Plus

0
137

Liam Tung

Av Liam Tung | 3. desember 2021 | Emne: Enterprise Software

Inne i en cyber-leiesoldatoperasjon: Hacking-ofre over hele verden Se nå

FBI og Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency (CISA) advarer om 'aktiv utnyttelse' av en feil i Zoho ManageEngine ServiceDesk Plus før 11306.

“Zoho ManageEngine ServiceDesk Plus før 11306, ServiceDesk Plus MSP før 10530 og SupportCenter Plus før 11014 er sårbare for uautentisert ekstern kjøring av kode. Dette er relatert til /RestAPI URL-er i en servlet, og ImportTechnicians i Struts-konfigurasjonen,” CISA og FBI CISA merknad om sårbarheten sporet som CVE-2021-44077.

CISA og FBIs varsling advarer om at organisasjoner som ikke brukte Zoho-oppdateringer for Zoho ServiceDesk Plus versjoner 11306 og nyere er sårbare for angripere som installerer web-skall, som er farlige fordi de vedvarer på et system selv etter bruk av sikkerhetsoppdateringer.

SE: Hackere bruker denne enkle teknikken for å installere skadevare på PC-er

Sårbarheten har også implikasjoner for organisasjoner som bruker Microsofts Windows-identitetsplattform, Active Directory.

“FBI og CISA vurderer at avanserte vedvarende trusler (APT) cyberaktører er blant dem som utnytter sårbarheten,” sier CISA.

“Hvis den ikke er korrigert, lar vellykket utnyttelse av sårbarheten en angriper laste opp kjørbare filer og plassere webshell som muliggjør aktiviteter etter utnyttelse, for eksempel å kompromittere administratorlegitimasjon, utføre sideveis bevegelse og eksfiltrere registerdata og Active Directory-filer.”

I mellomtiden sier Zoho i sin advarsel: “Denne sårbarheten lar en angriper få uautorisert tilgang til applikasjonens data gjennom noen få av applikasjonsnettadressene. For å gjøre det må en angriper manipulere alle sårbare applikasjonsadresser banen fra aktivamodulen med en riktig erstatning for tegnsett.

“Denne nettadressen kan omgå autentiseringsprosessen og hente de nødvendige dataene for angriperen, slik at angriperen kan få uautorisert tilgang til brukerdata eller utføre påfølgende angrep.”

Microsoft varsler denne måneden om mistenkt kinesisk hackere som retter seg mot Windows-maskiner som kjører Zoho ManageEngine ADSelfService Plus, en løsning for selvbetjent passordadministrasjon og enkel pålogging. Den ble sporet som CVE-2021-40539.

Ifølge sikkerhetsselskapet Palo Altos Unit 42 blir de to sårbarhetene mest sannsynlig brukt av en kinesisk cyberspionasjegruppe. Den sa at minst 13 organisasjoner på tvers av teknologi-, energi-, helse-, utdannings-, finans- og forsvarsindustrien har blitt kompromittert i løpet av de siste tre månedene.

“Av de fire nye ofrene ble to kompromittert gjennom sårbar ADSelfService Plus-servere mens to ble kompromittert gjennom ServiceDesk Plus-programvare. Vi forventer at dette tallet vil stige ettersom aktøren fortsetter å utføre rekognoseringsaktiviteter mot disse industriene og andre, inkludert infrastruktur knyttet til fem amerikanske stater,” sa forskerne.

< h3 class="heading"> Enterprise Software

Windows 11: Hvordan få Microsofts gratis operativsystemoppdatering De beste Linux-distroene for nybegynnere i 2021 Windows 10 er en sikkerhetskatastrofe som venter på å skje. Hvordan vil Microsoft rydde opp i rotet? AWS omfavner Fedora Linux for sin skybaserte Amazon Linux Cloud | Big Data Analytics | Innovasjon | Teknikk og arbeid | Samarbeid | Utvikler