海岸警卫队网络司令部(CGCYBER)今天的警告说,自上个月初以来,人们一直在积极利用它Zoho在单点登录和密码管理工具中发现的新漏洞,以及一些国家支持的高级持续威胁(APT)参与者可能是其中之一。
问题是Zoho ManageEngine ADSelfService Plus平台上的严重身份验证绕过了漏洞,导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。
Zoho ManageEngine ADSelfService Plus是一个针对AD自助密码管理和单点登录云应用程序(SSO)该平台意味着任何能够控制该平台的网络攻击者都将在两个关键任务应用程序(以及他们的敏感数据)中拥有多个轴点。换句话说,它是一个功能强大、特权高的应用程序,可以作为用户和攻击者进入企业各个领域的便捷入口点。
上周二,Zoho针对漏洞发布补丁-Zoho ManageEngine ADSelfService Plus build 6114CVE-2021-40539,严重程度为9.8。就像网络安全和基础设施安全一样(CISA)那像当时的警告一样,它正在行动0day在野外积极利用漏洞。
根据FBI、CISA和CGCYBER今天三个政府网络安全部门联合咨询了这些漏洞“对国防承包商、学术机构和其他使用该软件的实体构成严重威胁”。
原因:成功利用lynchpin安全机制(如SSO和密码处理程序)可以为攻击者铺平道路。具体来说,正如建议中反复提到的,攻击者可以利用这个漏洞撬开安全防御,破坏管理员凭证,在网络中横向移动,泄露注册表配置单元和AD文件。
这是任何企业都关心的问题,但对于Zoho,我们谈论的是一个安全解决方案,用于关键基础设施公司、美国批准的国防承包商和学术机构。
联合咨询说,APT事实上,该组织已经瞄准了包括运输在内的多个行业的实体IT、制造、通信、物流和金融。
指出:“非法访问和信息可能会扰乱公司的运营,颠覆美国在许多领域的研究。”“成功利用这个漏洞可以让攻击者放置webshell,因此,对手可以进行后利用活动,如破坏管理员凭证、横向移动、泄露登记表配置单元和Active Directory文件。”
可能很难确认漏洞的使用
成功的攻击是上传一个包含JavaServer Pages(JSP)webshell的.zip伪装成文件的文件x509证书service.cer,可在/help/admin-guide/Reports/ReportGenerate.jsp上访。接下来是不同的。API为了进一步利用目标系统,端点请求。
下一步是使用漏洞Windows Management Instrumentation(WMI)横向移动,获得对域控制器的访问权限,转储NTDS.dit和SECURITY/SYSTEM注册表配置单元,然后进一步破坏访问。
“确认ManageEngine ADSelfService Plus成功妥协可能很困难,”安全机构建议,由于攻击者正在清理脚本,旨在删除初始妥协点的痕迹,并模糊CVE-2021-40539和webshell他们之间的任何关系都会消除他们的痕迹。
该建议提供了使用威胁行为者漏洞的策略、技术和流程(TTP)的清单:
- 用于横向移动和远程代码执行WMI(wmic.exe)
- 用于感染ADSelfService Plus主机获得的明文凭据
- 使用pg_dump.exe转储ManageEngine数据库
- 转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册表配置单元
- 通过webshell进行渗漏
- 美国基础设施受损的后开发活动
- 删除特定和过滤的日志
缓解措施
三个机构指示,在ManageEngine ADSelfService Plus安装周围检测妥协指标(IoC)的组织“立即采取行动”。
三人表示:“FBI、CISA和CGCYBER强烈要求用户和管理员更新ADSelfService Plus build 6114。”他们还强烈敦促组织避免通过互联网直接访问ADSelfService Plus。
与此同时,他们强烈建议,如果发现任何迹象表明任何迹象NTDS.dit文件已被破坏”,重置域内的密码,重置双重Kerberos票证授予票证(TGT)密码。
造成的破坏
事件响应公司BreachQuest联合创始人兼首席技术官杰克·威廉姆斯说,该组织应该注意到威胁行为者一直在使用它webshell用作漏洞后的有效利用payload。在利用这个Zoho他们使用伪装成证书的漏洞webshell:安全团队应该能够在那里web服务器日志中获得的东西,但是“只有当组织有检测计划时,”。
他在周四对Threatpost时间不等人:“鉴于这当然不是原因Web Shell建议组织部署的最后一个漏洞Web在服务器日志中建立正常行为的基线,以便他们能够快速找到何时部署的基线web shell。”
网络安全公司Vectra奥利弗,首席技术官·塔瓦科利(Oliver Tavakoli)指出在系统中找到帮助员工管理和重置密码的关键漏洞“听起来真的很糟糕”。“即使不能从互联网上访问ADSelfService Plus服务器也可以访问任何感染的笔记本电脑。恢复的成本很高——‘全球密码重置和双重Kerberos票证授予票证(TGT)密码重置’本身肯定会造成破坏,而且APT在此期间,组织可能会建立其他持久的方法。”
数字风险保护提供商Digital Shadows的高级网络威胁情报分析师Sean Nikkel指出,这个ManageEngine漏洞是今年ManageEngine第五个类似严重漏洞的例子。不幸的是,考虑到攻击者可以从使用这些漏洞中获得多少访问权,他们可能会更广泛地使用这些漏洞和以前的漏洞,“鉴于与Microsoft系统过程的交互性”。
Nikkel继续另一个悲观的预测:“APT积极利用组织CVE-2021-40539这种现象表明了它可能造成的潜在风险。如果趋势一致,勒索组织可能会在不久的将来寻求利用CVE-2021-40539勒索软件活动的方法。”
所有这些都指向CISA等人一直在催促:尽快修补漏洞。Zoho软件用户应立即使用补丁,以避免CISA公告中描述的危害。
本文翻译自:https://threatpost.com/cisa-fbi-state-backed-apts-exploit-critical-zoho-bug/174768/如果转载,请注明原始地址。