在一个联合咨询美国联邦调查局、美国海岸警卫队网络司令部(CGCYBER)和网络安全和基础设施安全局(CISA)警告称,高级持续威胁(APT)网络参与者可能正在利用ManageEngine的单点登录(SSO)解决方案中的漏洞。

该漏洞

公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。问题中的漏洞列在下面cve - 2021 - 40539作为一个REST API身份验证绕过了Zoho ManageEngine ADSelfService Plus版本6113及更早版本的远程代码执行(RCE)。

该漏洞允许攻击者通过发送一个特别设计的请求,通过REST API端点获得对产品的未经授权访问。这将允许攻击者执行导致RCE的后续攻击。

对于那些从未听说过这个软件的人来说,这是一个针对Active Directory (AD)和云应用的自助密码管理和单点登录(SSO)解决方案。这意味着任何能够利用此漏洞的攻击者都可以立即访问公司网络的一些最关键的部分。

在野外剥削

这个漏洞的消息传出来了很明显,它正在野外被利用。Zoho表示,它注意到了这个漏洞被利用的迹象。其他研究人员他说,到目前为止,这些袭击的目标都很明确,而且是有限的,可能是单一的威胁行动者所为。昨天的联合咨询报告似乎支持这一点,它告诉我们,10 + 3网络参与者很可能是利用这一漏洞的人。

他们对此高度关注,因为这对关键基础设施公司构成了严重风险。中国钢铁工业协会认可16个关键基础设施领域这些国家的“资产、系统和网络,无论是实体的还是虚拟的,都被认为是对美国至关重要的,如果这些资产、系统和网络失效或被破坏,将对美国的安全、国家经济安全、国家公共健康或安全,或其任何组合产生削弱作用。”

联合咨询指出,疑似10 + 3网络行动者的目标包括交通、信息技术、制造、通信、物流和金融等多个行业领域的学术机构、国防承包商和关键基础设施实体。

它还警告说,成功利用该漏洞允许攻击者放置web shell,这使对手能够进行利用后的活动,如损害管理员凭据、进行横向移动和转移注册表蜂巢和Active Directory文件。

根据该建议,JavaServer Pages web shell将作为一个. zip文件“伪装成x509证书”调用service.cer.然后通过URL路径访问web shell/帮助/ admin-guide /报告/ ReportGenerate.jsp

然而,它警告说:

确认ManageEngine ADSelfService Plus的成功泄露可能是困难的——攻击者运行清理脚本,旨在删除泄露初始点的痕迹,并隐藏利用该漏洞和web shell之间的任何关系。

请咨询咨询处国际石油公司的完整列表

缓解

针对该漏洞的补丁已于2021年9月7日发布。建议用户更新到ADSelfService Plus build 6114。FBI、CISA和CGCYBER也强烈敦促各组织确保ADSelfService Plus不能直接从互联网上访问。

ManageEngine网站有关于如何识别和更新易受攻击的安装的具体说明。如果您需要进一步的信息,有任何问题,或面临任何更新ADSelfService Plus的困难,它也有关于如何联系支持的信息。

保持安全,大家好!