FBI och Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency (CISA) varnar för “aktivt utnyttjande” av en bugg i Zoho ManageEngine ServiceDesk Plus före 11306.
“Zoho ManageEngine ServiceDesk Plus före 11306, ServiceDesk Plus MSP före 10530 och SupportCenter Plus före 11014 är sårbara för oautentiserad fjärrkörning av kod. Detta är relaterat till /RestAPI URL:er i en servlet och ImportTechnicians i Struts-konfigurationen,” CISA och FBI CISA notera om sårbarheten som spåras som CVE-2021-44077.
CISA och FBI:s varning varnar för att organisationer som inte tillämpade Zoho-korrigeringar för Zoho ServiceDesk Plus version 11306 och högre är sårbara för angripare som installerar webbskal, som är farliga eftersom de finns kvar på ett system även efter att säkerhetsuppdateringar har installerats.
SE: Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer
Sårbarheten har även konsekvenser för organisationer som använder Microsofts Windows-identitetsplattform, Active Directory.
“FBI och CISA bedömer att avancerade persistent hot (APT) cyberaktörer är bland dem som utnyttjar sårbarheten”, säger CISA.
“Om den lämnas oparpad, tillåter framgångsrik exploatering av sårbarheten en angripare att ladda upp körbara filer och placera webbskal som möjliggör aktiviteter efter exploatering, som att äventyra administratörsuppgifter, utföra sidoförflyttningar och exfiltrera registerfiler och Active Directory-filer.”
Zoho säger under tiden i sin rekommendation: “Denna sårbarhet tillåter en angripare att få obehörig åtkomst till applikationens data genom några av dess applikationsadresser. För att göra det måste en angripare manipulera alla sårbara applikationsadresser sökväg från tillgångsmodulen med en korrekt teckenuppsättningsersättning.
“Den här webbadressen kan kringgå autentiseringsprocessen och hämta den data som krävs för angriparen, vilket gör att angriparen kan få obehörig åtkomst till användardata eller utföra efterföljande attacker.”
Microsoft larmade den här månaden om misstänkt kinesiska hackare som riktar in sig på Windows-maskiner som kör Zoho ManageEngine ADSelfService Plus, en självbetjäningslösning för lösenordshantering och enkel inloggning. Den spårades som CVE-2021-40539.
Enligt säkerhetsföretaget Palo Altos Unit 42 används de två sårbarheterna med största sannolikhet av en kinesisk cyberspionagegrupp. Det stod att minst 13 organisationer inom teknik-, energi-, hälsovårds-, utbildnings-, finans- och försvarsindustrin har äventyrats under de senaste tre månaderna.
“Av de fyra nya offren komprometterades två genom sårbara ADSelfService Plus-servrar medan två komprometterades genom ServiceDesk Plus-mjukvaran. Vi räknar med att detta antal kommer att stiga när skådespelaren fortsätter att bedriva spaningsaktiviteter mot dessa industrier och andra, inklusive infrastruktur associerad med fem amerikanska delstater,” sa forskarna.
< h3 class="heading"> Enterprise Software
Windows 11: Så här får du Microsofts gratis uppdatering av operativsystem De bästa Linux-distroerna för nybörjare 2021 Windows 10 är en säkerhetskatastrof som väntar på att hända. Hur kommer Microsoft att städa upp sin röra? AWS omfamnar Fedora Linux för sitt molnbaserade Amazon Linux Cloud | Big Data Analytics | Innovation | Teknik och arbete | Samarbete | Utvecklare