CISA 警告被积极利用的关键 Zoho ManageEngine ServiceDesk 漏洞
CISA 警告被积极利用的关键 Zoho ManageEngine ServiceDesk 漏洞
美国联邦调查局(FBI)和网络安全和基础设施安全局(CISA)警告说,Zoho的ManageEngine ServiceDesk Plus产品中新修补的漏洞被积极利用,以部署Web shell并执行一系列恶意活动。
该问题被跟踪为CVE-2021-44077(CVSS评分:9.8),与一个未经身份验证的远程执行代码漏洞有关,该漏洞影响到 11305(包括 11305)的 ServiceDesk Plus 版本,如果不加以修复,"允许攻击者上传可执行文件并放置 Web shell,从而启用开发后活动,例如泄露管理员凭据、进行横向移动以及泄露注册表配置单元和 Active Directory 文件,"CISA说。
"ServiceDesk Plus中的安全配置错误导致了该漏洞,"Zoho在11月22日发布的独立公告中指出。"这个漏洞可以允许对手执行任意代码并执行任何后续攻击。Zoho于2021年9月16日在版本11306及更高版本中解决了相同的缺陷。
根据Palo Alto Networks的Unit 42威胁情报团队发布的一份新报告,CVE-2021-44077也是同一威胁行为者利用的第二个漏洞,该威胁参与者以前被发现利用Zoho的自助密码管理和单点登录解决方案(称为ManageEngine ADSelfServicePlus(CVE-2021-40539)中的安全缺陷来破坏至少11个组织。
Zoho ManageEngine ServiceDesk 漏洞
"威胁行为者将其重点从ADSelfService Plus扩展到其他易受攻击的软件,"Unit 42研究人员Robert Falcone和Peter Renals说。"最值得注意的是,在10月25日至11月8日之间,演员将注意力转移到了几个运行名为ManageEngine ServiceDesk Plus的不同Zoho产品的组织。
据信,这些攻击是由微软以"DEV-0322"为绰号跟踪的"持久而坚定的APT演员"精心策划的,DEV-0322是一个新兴的威胁集群,这家科技巨头称该威胁集群正在中国境外运营,此前曾被观察到利用SolarWinds Serv-U管理的文件传输服务中的零日漏洞。第42部队正在监视联合活动,作为"倾斜的模板"战役。
成功入侵后的开发后活动涉及参与者将新的滴管器("msiexec.exe")上传到受害者系统,然后部署名为"哥斯拉"的中文JSP Web shell,用于在这些机器中建立持久性,这与针对ADSelfService软件的类似策略相呼应。
Unit 42确定,目前全球有超过4,700个面向互联网的ServiceDesk Plus实例,其中2,900个(或62%)跨越美国,印度,俄罗斯,英国和土耳其,被评估为容易受到利用。
在过去的三个月中,至少有两个组织因ManageEngine ServiceDesk Plus漏洞而受到损害,随着APT集团加大对技术,能源,运输,医疗保健,教育,金融和国防行业的侦察活动,这一数字预计将进一步攀升。
Zoho 提供了一个漏洞利用检测工具,以帮助客户识别其本地安装是否已遭到破坏,此外还建议用户"立即升级到最新版本的 ServiceDesk Plus (12001)",以减轻利用带来的任何潜在风险。
该问题被跟踪为CVE-2021-44077(CVSS评分:9.8),与一个未经身份验证的远程执行代码漏洞有关,该漏洞影响到 11305(包括 11305)的 ServiceDesk Plus 版本,如果不加以修复,"允许攻击者上传可执行文件并放置 Web shell,从而启用开发后活动,例如泄露管理员凭据、进行横向移动以及泄露注册表配置单元和 Active Directory 文件,"CISA说。
"ServiceDesk Plus中的安全配置错误导致了该漏洞,"Zoho在11月22日发布的独立公告中指出。"这个漏洞可以允许对手执行任意代码并执行任何后续攻击。Zoho于2021年9月16日在版本11306及更高版本中解决了相同的缺陷。
根据Palo Alto Networks的Unit 42威胁情报团队发布的一份新报告,CVE-2021-44077也是同一威胁行为者利用的第二个漏洞,该威胁参与者以前被发现利用Zoho的自助密码管理和单点登录解决方案(称为ManageEngine ADSelfServicePlus(CVE-2021-40539)中的安全缺陷来破坏至少11个组织。
Zoho ManageEngine ServiceDesk 漏洞
"威胁行为者将其重点从ADSelfService Plus扩展到其他易受攻击的软件,"Unit 42研究人员Robert Falcone和Peter Renals说。"最值得注意的是,在10月25日至11月8日之间,演员将注意力转移到了几个运行名为ManageEngine ServiceDesk Plus的不同Zoho产品的组织。
据信,这些攻击是由微软以"DEV-0322"为绰号跟踪的"持久而坚定的APT演员"精心策划的,DEV-0322是一个新兴的威胁集群,这家科技巨头称该威胁集群正在中国境外运营,此前曾被观察到利用SolarWinds Serv-U管理的文件传输服务中的零日漏洞。第42部队正在监视联合活动,作为"倾斜的模板"战役。
成功入侵后的开发后活动涉及参与者将新的滴管器("msiexec.exe")上传到受害者系统,然后部署名为"哥斯拉"的中文JSP Web shell,用于在这些机器中建立持久性,这与针对ADSelfService软件的类似策略相呼应。
Unit 42确定,目前全球有超过4,700个面向互联网的ServiceDesk Plus实例,其中2,900个(或62%)跨越美国,印度,俄罗斯,英国和土耳其,被评估为容易受到利用。
在过去的三个月中,至少有两个组织因ManageEngine ServiceDesk Plus漏洞而受到损害,随着APT集团加大对技术,能源,运输,医疗保健,教育,金融和国防行业的侦察活动,这一数字预计将进一步攀升。
Zoho 提供了一个漏洞利用检测工具,以帮助客户识别其本地安装是否已遭到破坏,此外还建议用户"立即升级到最新版本的 ServiceDesk Plus (12001)",以减轻利用带来的任何潜在风险。
关于作者
评论0次