海岸警卫队网络司令部(CGCYBER)今天警告说,Zoho单点登录和密码管理工具中新发现的漏洞自上月初以来已被积极利用漏洞和一些国家支持的高级持续威胁(APT)参与者可能是其中之一。该问题是ZohoManageEngineADSelfServicePlus平台中的一个严重身份验证绕过漏洞,可导致远程代码执行(RCE),为不法攻击者打开大门,从而完全控制用户的ActiveDirectory(AD)和云帐户。ZohoManageEngineADSelfServicePlus是一个用于AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都将拥有多个支点。换句话说,它是一个功能强大、具有高特权的应用程序,可以作为进入企业各个领域的便捷入口点,对于用户和攻击者都是如此。上周二,Zoho发布了该漏洞的补丁——ZohoManageEngineADSelfServicePlusbuild6114,被追踪为CVE-2021-40539,严重等级为9.8。正如网络安全和基础设施安全局(CISA)当时警告的那样,它正作为零日漏洞在野外被积极利用。根据三个政府网络安全机构FBI、CISA和CGCYBER今天发布的一份联合咨询报告,这些漏洞“对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用该软件的实体构成了严重威胁”。您可以看到原因:成功利用SSO和密码处理程序等关键安全机制可以为攻击者铺平道路。具体来说,正如公告中反复提到的那样,攻击者可以利用该漏洞撬开安全防御以破坏管理员凭据,在网络中横向移动,并泄露注册表配置单元和AD文件。这是任何企业都关心的问题,但对于Zoho,我们谈论的是关键基础设施公司、美国批准的国防承包商和学术机构等使用的安全解决方案。据联合咨询了解,APT组织实际上已经针对多个行业的此类实体,包括交通、IT、制造、通信、物流和金融。“非法获得的访问权限和信息可能会扰乱公司运营并颠覆美国在多个领域的研究,”该公告称。“成功利用此漏洞可能允许攻击者放置一个webshel??l,该webshel??l允许对手进行后开发活动,例如破坏管理员凭据、横向移动以及注册表配置单元和ActiveDirectory文件的泄露。”确认利用可能很困难一次成功的攻击会上传一个.zip文件,其中包含伪装成x509证书服务.cer的JavaServerPages(JSP)webshel??l,可在/help/admin-guide/Reports/ReportGenerate.jsp访问。这之后是请求到不同的API端点以进一步利用目标系统。利用的下一步是使用WindowsManagementInstrumentation(WMI)横向移动,获得对域控制器的访问权限,转储NTDS.dit和SECURITY/SYSTEM注册表配置单元,以及然后从那里进一步妥协访问。“确认ManageEngineADSelfServicePlus的成功妥协可能很困难,”安全机构建议,因为攻击者正在运行清理脚本,旨在删除初始妥协点的痕迹并掩盖CVE-2021之间的任何关系-40539和webshel??l,以清除它们的踪迹。该公告提供了威胁行为者用来利用vu的策略、技术和程序(TTP)的清单可操作性:用于横向移动和远程代码执行(wmic.exe)的WMI使用明文凭据转储ManageEngine数据库转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册表配置单元使用pg_dump.exe缓解三个机构指示检测妥协指标的组织(IoCs)围绕ManageEngineADSelfServicePlus安装“应该立即采取行动。”“FBI、CISA和CGCYBER强烈敦促用户和管理员更新到ADSelfServicePlusbuild6114,”三人组说。他们还强烈敦促组织避免通过Internet直接访问ADSelfServicePlus。如果发现任何迹象表明NTDS.dit文件已被破坏,他们还强烈建议重置全域密码和双重Kerberos票证授予票证(TGT)密码。该漏洞是由事件响应公司BreachQuest的联合创始人造成的在这个Zoho漏洞利用案例中,他们使用伪装成证书的webshel??l:安全团队应该能够在Web服务器日志中获取内容,但“前提是组织有检测计划”。时间紧迫,他在周四告诉Threatpost:“鉴于这肯定不是最后一个将导致部署网络外壳的事件。”漏洞,建议组织在其Web服务器日志中建立正常行为的基线,以便他们可以在部署Webshell时快速发现。网络安全公司Vectra的首席技术官OliverTavakoli指出,在旨在帮助您的员工管理和重置密码的系统中发现一个严重漏洞“听起来确实很糟糕”。无法从Internet访问ADSelfServicePlus服务器,也无法从任何受感染的笔记本电脑访问它。恢复成本高得令人望而却步——“全局密码重置和双重Kerberos票证授予票证(TGT)密码重置”本身肯定会造成破坏,同时APT组织可能已经建立了其他持久性方法。数字风险保护提供商DigitalShadows的高级网络威胁情报分析师SeanNikkel指出,这个ManageEngine漏洞是ManageEngine今年出现的第五个类似严重漏洞。他们可能会更广泛地利用这个漏洞和以前的漏洞,“考虑到与Microsoft系统进程的交互性”。Nikkel继续进行另一个悲观预测:“APT组织积极利用CVE-2021-40539的现象表明它可能带来的潜在风险。如果趋势一致,勒索组织可能希望在不久的将来利用CVE-2021-40539进行勒索软件活动。”所有这些都指向CISA和其他人一直在敦促的事情:尽快修补漏洞。Zoho软件的用户应立即应用补丁以避免CISA公告中描述的危险。本文翻译自:https://threatpost.com/cisa-fbi-state-backed-apts-exploit-critical-zoho-bug/174768/如有转载请注明出处。
