《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > CISA,、FBI:民族國(guó)家APT組織可能正在利用Zoho漏洞

CISA,、FBI:民族國(guó)家APT組織可能正在利用Zoho漏洞

2021-09-24
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: APT Zoho漏洞

  海岸警衛(wèi)隊(duì)網(wǎng)絡(luò)司令部(CGCYBER)今天警告說(shuō),,自上月初以來(lái)一直有人在積極利用Zoho單點(diǎn)登錄和密碼管理工具中新發(fā)現(xiàn)的漏洞,,而一些國(guó)家支持的高級(jí)持續(xù)威脅(APT)參與者可能是其中之一,。

  問(wèn)題是Zoho ManageEngine ADSelfService Plus平臺(tái)中的一個(gè)嚴(yán)重的身份驗(yàn)證繞過(guò)漏洞,,該漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE),,從而為肆無(wú)忌憚的攻擊者打開(kāi)公司大門(mén),,攻擊者可以自由控制用戶(hù)的Active Directory(AD)和云帳戶(hù),。

  Zoho ManageEngine ADSelfService Plus是一個(gè)針對(duì)AD和云應(yīng)用程序的自助式密碼管理和單點(diǎn)登錄(SSO)平臺(tái),,這意味著任何能夠控制該平臺(tái)的網(wǎng)絡(luò)攻擊者都會(huì)在兩個(gè)關(guān)鍵任務(wù)應(yīng)用程序(和他們的敏感數(shù)據(jù))中擁有多個(gè)軸心點(diǎn)。換句話(huà)說(shuō),,它是一個(gè)功能強(qiáng)大的,、高度特權(quán)的應(yīng)用程序,無(wú)論是對(duì)用戶(hù)還是攻擊者都可以作為一個(gè)進(jìn)入企業(yè)內(nèi)部各個(gè)領(lǐng)域的便捷入口點(diǎn),。

  上周二,,Zoho針對(duì)該漏洞發(fā)布了一個(gè)補(bǔ)丁-Zoho ManageEngine ADSelfService Plus build 6114,該漏洞被追蹤為CVE-2021-40539,,嚴(yán)重性等級(jí)為9.8,。正如網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)當(dāng)時(shí)警告的那樣,它正在作為0day漏洞在野外被積極利用,。

  根據(jù)FBI,、CISA和CGCYBER這三個(gè)政府網(wǎng)絡(luò)安全部門(mén)今天的聯(lián)合咨詢(xún),這些漏洞“對(duì)關(guān)鍵基礎(chǔ)設(shè)施公司,、美國(guó)批準(zhǔn)的國(guó)防承包商,、學(xué)術(shù)機(jī)構(gòu)和其他使用該軟件的實(shí)體構(gòu)成了嚴(yán)重威脅”。

  您可以看到原因:成功利用lynchpin安全機(jī)制(如SSO和密碼處理程序)可以為攻擊者鋪平道路,。具體來(lái)說(shuō),,正如建議中反復(fù)提到的,攻擊者可以利用該漏洞來(lái)撬開(kāi)安全防御,,以破壞管理員憑據(jù),、在網(wǎng)絡(luò)中橫向移動(dòng)以及泄露注冊(cè)表配置單元和AD文件。

  這是任何企業(yè)都關(guān)心的問(wèn)題,,但對(duì)于Zoho,,我們談?wù)摰氖且粋€(gè)被關(guān)鍵基礎(chǔ)設(shè)施公司、美國(guó)批準(zhǔn)的國(guó)防承包商和學(xué)術(shù)機(jī)構(gòu)等使用的安全解決方案,。

  聯(lián)合咨詢(xún)稱(chēng),,APT組織實(shí)際上已經(jīng)瞄準(zhǔn)了多個(gè)行業(yè)的此類(lèi)實(shí)體,包括運(yùn)輸,、IT,、制造,、通信、物流和金融,。

  該咨詢(xún)指出:“非法獲得的訪問(wèn)和信息可能會(huì)擾亂公司運(yùn)營(yíng)并顛覆美國(guó)在多個(gè)領(lǐng)域的研究,。”“成功利用該漏洞可使攻擊者放置webshell,,從而使對(duì)手能夠進(jìn)行后利用活動(dòng),,例如破壞管理員憑據(jù)、進(jìn)行橫向移動(dòng)以及泄露注冊(cè)表配置單元和Active Directory文件,?!?/p>

  確認(rèn)漏洞利用可能很困難

  成功的攻擊是上傳一個(gè)包含JavaServer Pages(JSP)webshell的。zip文件,,該文件偽裝成x509證書(shū)service.cer,,可在/help/admin-guide/Reports/ReportGenerate.jsp上訪問(wèn)。接下來(lái)是對(duì)不同API端點(diǎn)的請(qǐng)求,,以進(jìn)一步利用目標(biāo)系統(tǒng),。

  漏洞利用的下一步是使用Windows Management Instrumentation(WMI)橫向移動(dòng),獲得對(duì)域控制器的訪問(wèn)權(quán)限,,轉(zhuǎn)儲(chǔ)NTDS.dit和SECURITY/SYSTEM注冊(cè)表配置單元,,然后從那里進(jìn)一步破壞訪問(wèn)。

  “確認(rèn)ManageEngine ADSelfService Plus的成功妥協(xié)可能很困難,,”安全機(jī)構(gòu)建議說(shuō),,因?yàn)楣粽哒谶\(yùn)行清理腳本,旨在通過(guò)刪除初始妥協(xié)點(diǎn)的痕跡,,并模糊CVE-2021-40539和webshell之間的任何關(guān)系,,來(lái)擦除他們的蹤跡。

  該咨詢(xún)建議提供了威脅行為者漏洞利用時(shí)所使用的策略,、技術(shù)和流程(TTP)的清單:

  · 用于橫向移動(dòng)和遠(yuǎn)程代碼執(zhí)行的WMI(wmic.exe)

  · 使用從受感染的ADSelfService Plus主機(jī)獲取的明文憑據(jù)

  · 使用pg_dump.exe轉(zhuǎn)儲(chǔ)ManageEngine數(shù)據(jù)庫(kù)

  · 轉(zhuǎn)儲(chǔ)NTDS.dit和SECURITY/SYSTEM/NTUSER注冊(cè)表配置單元

  · 通過(guò)webshell進(jìn)行滲漏

  · 利用受損的美國(guó)基礎(chǔ)設(shè)施進(jìn)行的后開(kāi)發(fā)活動(dòng)

  · 刪除特定的,、過(guò)濾的日志行

  緩解措施

  三個(gè)機(jī)構(gòu)指示,在ManageEngine ADSelfService Plus安裝周?chē)鷻z測(cè)到妥協(xié)指標(biāo)(IoC)的組織“應(yīng)立即采取行動(dòng)”,。

  三人表示:“FBI,、CISA和CGCYBER強(qiáng)烈要求用戶(hù)和管理員更新到ADSelfService Plus build 6114?!彼麄冞€強(qiáng)烈敦促組織避免通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)ADSelfService Plus,。

  同時(shí)他們還強(qiáng)烈建議如果發(fā)現(xiàn)任何跡象表明NTDS.dit文件已被破壞“,在域范圍內(nèi)重置密碼,,并重置雙Kerberos票證授予票證(TGT)密碼,。

  造成的破壞

  事件響應(yīng)公司BreachQuest的聯(lián)合創(chuàng)始人兼首席技術(shù)官杰克威廉姆斯表示,組織應(yīng)該注意到,,即威脅行為者一直在使用webshell作為漏洞利用后的有效payload,。在利用這個(gè)Zoho漏洞的情況下,,他們使用偽裝成證書(shū)的webshell:安全團(tuán)隊(duì)?wèi)?yīng)該能夠在web服務(wù)器日志中獲取的東西,但”只有在組織有檢測(cè)計(jì)劃的情況下“,。

  他在周四對(duì)Threatpost表示,,時(shí)間不等人:”鑒于這肯定不是導(dǎo)致Web Shell部署的最后一個(gè)漏洞,,建議組織在其Web服務(wù)器日志中建立正常行為的基線,,以便他們可以快速發(fā)現(xiàn)何時(shí)已經(jīng)部署了一個(gè)web shell?!?/p>

  網(wǎng)絡(luò)安全公司Vectra的首席技術(shù)官奧利弗·塔瓦科利(Oliver Tavakoli)指出,,在系統(tǒng)中發(fā)現(xiàn)一個(gè)旨在幫助您的員工管理和重置密碼的關(guān)鍵漏洞”確實(shí)聽(tīng)起來(lái)很糟糕“?!奔词篃o(wú)法從互聯(lián)網(wǎng)訪問(wèn)ADSelfService Plus服務(wù)器,,也可以從任何受感染的筆記本電腦訪問(wèn)它?;謴?fù)的費(fèi)用非常之高——‘全域密碼重置和雙重Kerberos票證授予票證(TGT)密碼重置’本身肯定會(huì)造成破壞,,而且APT組織可能在此期間建立了其他持久性方法?!?/p>

  數(shù)字風(fēng)險(xiǎn)保護(hù)提供商Digital Shadows的高級(jí)網(wǎng)絡(luò)威脅情報(bào)分析師Sean Nikkel指出,,這個(gè)ManageEngine漏洞是今年ManageEngine出現(xiàn)的類(lèi)似嚴(yán)重漏洞的第五個(gè)實(shí)例。不幸的是,,考慮到攻擊者可以從利用這樣的漏洞中獲得多少訪問(wèn)權(quán)限,,他們可能會(huì)更廣泛地利用此漏洞和以前的漏洞,”鑒于與Microsoft系統(tǒng)進(jìn)程的交互性“,。

  Nikkel繼續(xù)進(jìn)行另一個(gè)悲觀的預(yù)測(cè):”APT組織正在積極利用CVE-2021-40539的現(xiàn)象表明它可能造成的潛在風(fēng)險(xiǎn),。如果趨勢(shì)一致,勒索組織可能會(huì)在不久的將來(lái)尋求利用CVE-2021-40539進(jìn)行勒索軟件活動(dòng)的方法,?!?/p>

  所有這些都指向了CISA等人一直在敦促的:盡快進(jìn)行漏洞修補(bǔ)。Zoho軟件的用戶(hù)應(yīng)立即應(yīng)用補(bǔ)丁,,以避免CISA公告中描述的危害,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected]