Görüntü: SamuelJJOHN (CC BY-SA 4.0)
FBI, CISA ve Sahil Güvenlik Cyber Command (CGCYBER) Bugün, devlet destekli gelişmiş kalıcı tehdit (APT) gruplarının, Ağustos 2021'in başından bu yana bir ZOHO tek oturum açma ve şifre yönetimi çözümünde kritik bir kusurunu aktif olarak kullandığı konusunda uyardı.
Zoho'nun müşteri listesi, Apple, Intel, Nike, Paypal, HBO ve daha birçok dahil olmak üzere "Beş Fortune 500 şirketinden üçü" içerir.
CVE-2021-40539 olarak izlenen güvenlik açığı Zoho ManageEngine AdselfService Plus yazılımında bulundu ve saldırganların başarılı bir şekilde sömürülmeyi takiben savunmasız sistemleri devralmasına izin veriyor.
Bu ortak güvenlik danışmanı, geçen hafta CISA tarafından verilen önceki bir uyarıyı takip ediyor, ayrıca, tehdit aktörlerinin uzlaşmış sistemlerde uzaktan kötü amaçlı kod çalışmalarına izin verebilecek vahşi saldırılarda CVE-2021-40539'u da uyardı.
Ortak Danışma, "ManageEngine Adcselfservice Plus, eleştirel altyapı şirketleri, ABD'nin temizlenen savunma müteahhitleri, akademik kurumlar ve yazılımı kullanan diğer varlıklar için ciddi bir risk oluşturuyor" dedi.
"Güvenlik açığının başarılı bir şekilde kullanılması, saldırganın, yönetici kimlik bilgilerini ödün vermesi, yanal hareket ve exfiltrating Kayıt Dizin Dosyaları ve Active Directory dosyaları gibi yönetici kimlik bilgilerini tehlikeye atma gibi sömürü sonrası faaliyetler yapmalarını sağlayan webshells yerleştirmesini sağlar."
CVE-2021-40539 istismarlarının kullandığı olaylarda, bir JavaServer sayfaları (JSP) Web kabuğunu X509 sertifikası olarak kamufle edilen bir JavaServer sayfaları (JSP) dağıtmak için saldırganlar gözlendi.
Bu web kabuğu, daha sonra etki alanı denetleyicilerine erişmek ve NTDS.dit ve güvenlik / sistem kayıt defteri kovanlarına erişmek için Windows Yönetim Araçları (WMI) ile yanal hareketi için kullanılır.
Şimdiye kadar, bu saldırıların arkasındaki APT grupları, akademik kurumlardan ve savunma müteahhitlerinden kritik altyapı varlıklarına (örneğin, nakliye, BT, imalat, iletişim, lojistik ve finans) kapsamlı bir sektör yelpazesini hedeflemiştir.
Zoho, 6 Eylül'deki CVE-2021-40539 güvenlik açığını yamalayan ZOHO ManageEngine AdselfService Plus 6114'ü piyasaya sürdü.
Daha sonra bir güvenlik bildiriminde, Şirket, vahşi doğada "bu güvenlik açığının sömürülmesinin endikasyonlarını fark etme" olduğunu ekledi.
FBI, CISA ve CGCSCYBER Kuruluşları ADKService Plus Build 6114 güncellemesini hemen uygulamak ve AdselfService Plus'ın internetten doğrudan erişilebilir olmadığından emin olun.
Acenteler ekledi, "Ek olarak, FBI, CISA ve CGCYBER, etki alanı genelinde şifre sıfırlar ve çift kerberos biletini tavsiye eder.
ManageEngeReadselfService Plus'ın uzlaşmasının göstergeleri ile ilişkili kötü amaçlı aktiviteyi tespit eden kuruluşlar, onu derhal CISA veya FBI'ye bir olay olarak rapor etmesi önerilir.
Zoho yamalar aktif olarak sömürüldü Kritik adselfservice Plus Hata
FBI, CISA: Ransomware saldırısı riski tatillerde, hafta sonları artıyor
FBI: Bu yıl çevrimiçi romantizm dolandırıcılığına 113 milyon dolar kayıp
FBI: Sextrortion saldırılarındaki Spike, bu yıl 8 milyon dolar kurbanları
FBI Yiyecek, Tarım Orgs Hedefleyen Ransomware Çetelerinin Uyarıları
Kaynak: Bleeping Computer