CISA varuje pred aktívne využívanou kritickou chybou zabezpečenia služby Zoho ManageEngine

Americký Federálny úrad pre vyšetrovanie (FBI) a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) varujú pred aktívnym využívaním novo opravenej chyby v produkte ManageEngine ServiceDesk Plus spoločnosti Zoho na nasadenie webových shellov a vykonávanie množstva škodlivých aktivít.

Sledované ako CVE-2021-44077 (skóre CVSS: 9.8), problém sa týka neoverenej zraniteľnosti spustenia kódu na diaľku, ktorá ovplyvňuje ServiceDesk Plus verzie do 11305 vrátane, ktorá, ak zostane neopravená, „umožní útočníkovi nahrať spustiteľné súbory a umiestniť webové shelly, ktoré umožňujú aktivity po zneužití, ako je napríklad kompromitácia poverenia správcu, vykonávanie bočného pohybu a exfiltrácia podregistrov a súborov Active Directory,“ uviedla CISA.

“Zlá konfigurácia zabezpečenia v ServiceDesk Plus viedla k zraniteľnosti,” poznamenal Zoho v nezávislom odporúčaní zverejnenom 22. novembra. “Táto zraniteľnosť môže umožniť protivníkovi spustiť ľubovoľný kód a vykonať akékoľvek následné útoky.” Zoho riešil rovnakú chybu vo verziách 11306 a vyšších 16. septembra 2021.

CVE-2021-44077 je tiež druhou chybou, ktorú môže zneužiť ten istý aktér hrozby, ktorý bol predtým zistený pri využívaní bezpečnostného nedostatku v samoobslužnej správe hesiel a riešení jediného prihlásenia spoločnosti Zoho, známe ako ManageEngine ADSelfService Plus (CVE-2021-40539 ) kompromitovať najmenej 11 organizácií, podľa novej správy zverejnenej tímom 42 pre spravodajstvo o hrozbách Palo Alto Networks.

„Aktér hrozby expanduje[ed] jeho zameranie nad rámec ADSelfService Plus na iný zraniteľný softvér,“ uviedli výskumníci z Unit 42 Robert Falcone a Peter Renals. „Najvýraznejšie medzi 25. októbrom a novembrom 8, herec presunul pozornosť na niekoľko organizácií prevádzkujúcich iný produkt Zoho známy ako ManageEngine ServiceDesk Plus.”

Predpokladá sa, že útoky sú organizované „vytrvalým a odhodlaným aktérom APT“, sledovaným spoločnosťou Microsoft pod prezývkou „DEV-0322“, čo je vznikajúci klaster hrozieb, o ktorom technologický gigant hovorí, že pôsobí mimo Číny a už predtým bol pozorovaný pri využívaní chyba zero-day v službe prenosu súborov riadenej SolarWinds Serv-U začiatkom tohto roka. Jednotka 42 monitoruje kombinovanú činnosť ako „Naklonený chrám“ kampaň.

Činnosti po vykorisťovaní po úspešnom kompromise zahŕňajú, že aktér nahrá nový dropper (“msiexec.exe”) do systémov obetí, ktoré potom nasadia webový shell JSP v čínskom jazyku s názvom “Godzilla” na zaistenie zotrvania v týchto strojoch, pričom sa opakuje podobná taktika. používané proti softvéru ADSelfService.

Jednotka 42 zistila, že v súčasnosti je už viac 4700 internetových inštancií ServiceDesk Plus na celom svete, z toho 2900 (alebo 62 %) v rámci USA, Indie, Ruska, Veľkej Británie a Turecka sa považuje za zraniteľných voči vykorisťovaniu.

Za posledné tri mesiace boli najmenej dve organizácie kompromitované pomocou chyby ManageEngine ServiceDesk Plus, pričom sa očakáva, že počet bude ešte stúpať, keď skupina APT zintenzívni svoje prieskumné aktivity v oblasti technológií, energetiky, dopravy, zdravotníctva, vzdelávania, financií a obranného priemyslu.

Spoločnosť Zoho sprístupnila nástroj na detekciu zneužitia, ktorý pomáha zákazníkom identifikovať, či ich lokálne inštalácie boli napadnuté, okrem toho, že používateľom odporúča, aby „okamžite inovovali na najnovšiu verziu ServiceDesk Plus (12001)“ na zmiernenie akýchkoľvek problémov. potenciálne riziko vyplývajúce z využívania.