联邦调查局、CISA和海岸警卫队网络指挥部(CGCYBER)警告说,民族国家APT团体正在积极利用Zoho ManageEngine ADSelfService Plus软件中的一个关键漏洞,该漏洞被跟踪为CVE-2021-40539。 ManageEngine ADSelfService Plus是自助密码管理和单点登录解决方案。 “本联合咨询是联邦调查局(FBI)、美国海岸警卫队网络指挥部(CGCYBER)和网络安全和基础设施安全局(CISA)之间分析工作的结果,旨在强调与积极利用ManageEngine ADSelfService Plus中新发现的漏洞(CVE-2021-40539)相关的网络威胁——一种自助密码管理和单点登录解决方案。”“利用ManageEngine ADSelfService Plus对关键基础设施公司、美国批准的国防承包商、学术机构和使用该软件的其他实体构成了严重风险。” 据美国机构称,威胁者可能会触发放置网络壳的缺陷,这使得对手能够进行开发后活动,例如泄露管理员凭据、进行横向移动以及泄露注册表蜂箱和Active Directory文件。 9月初,Zoho在其ManageEngine ADSelfService Plus中发布了一个安全补丁,以解决一个身份验证旁路漏洞,该漏洞被跟踪为CVE-2021-40539。该公司还警告说,这种脆弱性已经在野外攻击中被利用了。 该漏洞驻留在ADSelfService Plus的REST API URL中,并可能导致远程代码执行(RCE)。 “我们已经解决了影响ADSelfService Plus中REST API URL的身份验证旁路漏洞。本文提供了有关这个问题以及如何解决这个问题的更多信息。”阅读了该公司发布的建议。“此漏允许攻击者通过REST API端点通过发送特别制作的请求来未经授权访问产品。这将允许攻击者随后进行导致RCE的攻击。” “这是一个关键问题。我们注意到有迹象表明,这种脆弱性正在被利用,”Zoho补充说。 该缺陷影响ADSelfService Plus 6113的发布,在此之前,该缺陷已通过发布6114或更高版本得到解决。 利用CVE-2021-40539缺陷对关键基础设施公司和美国批准的国防承包商等组织构成了严重风险。 管理引擎ADSelfService Plus被盗后,攻击者上传了一个zip存档,其中包含伪装成x509证书的JavaServer Pages(JSP)网页。 “然后向不同的API端点提出后续请求,以进一步利用受害者的系统。”警报继续。“初始开发完成后,JSP网页外壳可以在/help/admin-guide/Reports/ReportGenerate.jsp上访问。然后,攻击者试图使用Windows管理仪器(WMI)横向移动,获得对域控制器的访问权限,转储NTDS.dit和安全/SYSTEM注册表蜂箱,然后从那里继续受损的访问。” 联邦调查局、CISA和CGCYBER敦促组织立即更新其安装。 “此外,如果发现任何迹象表明NTDS.dit文件被盗,联邦调查局、CISA和CGCYBER强烈建议重设全域密码,并双倍重置Kerberos门票授予门票(TGT)密码。”警报总结道。受影响的组织应立即作为事件向CISA或联邦调查局报告是否存在以下任何一项: 如上所述,确定妥协指标。 在受损的ManageEngine ADSelfService Plus服务器上存在网络外壳代码。 未经授权访问或使用帐户。 访问受损系统的恶意行为者横向移动的证据。 未经授权的访问或妥协的其他指标。”
|