美国联邦调查局(FBI)和网络安全与根本举动步伐安全局(CISA)警告称,有人正在积极利用Zoho的ManageEngine ServiceDesk Plus产品中新修补的漏洞来支配网络外壳和履行一系列恶意活动。
跟踪为CVE-2021-44077(CVSS评分:9.8),该问题与影响ServiceDesk Plus及以下版本的未经身份验证的远程代码实行漏洞有关,该漏洞“许可攻击者上传可实行文件并放置网络外壳,从而实现利用后活动,例如透露管理员凭据、进行横向移动以及过滤注册表配置单元和Active Directory文件,”CISA说。
“ServiceDesk Plus中的安全缺点配置导致了该漏洞,”Zoho说著名的在11月22日揭橥的一份独立咨询报告中。"该漏洞许可对手实行任意代码并实行任何后续攻击."Zoho办理2021年9月16日发布的11306及以上版本也存在同样的毛病。
CVE-2021-44077也是第二个被之前创造的威胁行为者利用的漏洞利用Zoho的自助密码管理和单点登录办理方案(称为ManageEngine ADSelfService Plus(CVE-2021-40539)根据帕洛阿尔托网络公司第42小组威胁情报小组发布的一份新报告,至少有11个组织受到威胁。
《第42单元》的研究职员罗伯特·法尔科内和彼得·雷纳尔斯说:“威胁行动者将把稳力从ADSelfService Plus扩展到了其他易受攻击的软件。”说。“最值得把稳的是,在10月25日至11月8日期间,这位演员将把稳力转移到了几个运行名为ManageEngine ServiceDesk Plus的不同Zoho产品的组织。”
据信,这些攻击是由一个“坚持不懈、意志武断的APT行动者”策划的,该行动者被微软用“外号”追踪DEV-0322“这是一个新兴的威胁集群,这家科技巨子称其在中国之外运营,此前有人不雅观察到它利用了今年早些时候网络安全管理软件产品做事器管理的文件传输做事中的一个零日漏洞。单元42正在监视组合活动倾斜模板“竞选。
成功妥协后的利用后活动包括参与者向受害者系统上传一个新的dropper(“msiexec . exe”),然后受害者系统支配名为“哥斯拉”的中文JSP web shell,用于在这些机器中建立持久性,这呼应了针对ADSelfService软件利用的类似策略。
第42单元确定,目前环球有超过4,700个面向互联网的ServiceDesk Plus实例,个中2,900个(或62%)超过美国、印度、俄罗斯、英国和土耳其,据评估随意马虎受到利用。
在过去的三个月里,至少有两个组织因利用ManageEngine ServiceDesk Plus漏洞而受到危害,随着亚太电信集团加大对技能、能源、交通、医疗保健、教诲、金融和国防行业的侦察活动,这一数字估量还会进一步攀升。
就Zoho而言,它供应了一个漏洞检测工具帮助客户识别其内部安装是否受到威胁,此外还建议用户“立即升级到ServiceDesk Plus (12001)的最新版本”,以减轻任何潜在的利用风险。
