BOB(中国)官方入口-BOB体育官网登陆

BOB综合体育在线 CISA、FBI:民族国家APT构造能够正在行使Zoho漏洞

海岸警卫队网络司令部参与者能够是其中之一BOB综合体育在线。

题目是ZohoManageEngineADSelfServicePlus平台中的一个主要的身份验证绕过漏洞,该漏洞可导致长途代码实走和云帐户。

ZohoManageEngineADSelfServicePlus是一个针对AD和云行使程序的自立式暗号管理和单点登录中拥有众个轴心点。换句话说,它是一个功能兴旺的、高度特权的行使程序,不论是对用户照样抨击者都能够行为一个进入企业内部各个周围的便捷入口点。

上周二,Zoho针对该漏洞发布了一个补丁-ZohoManageEngineADSelfServicePlusbuild6114,该漏洞被追踪为CVE-2021-40539,主要性等级为9.8。正如网络坦然和基础设施坦然局那时警告的那样,它正在行为0day漏洞在田园被积极行使。

按照FBI、CISA和CGCYBER这三个当局网络坦然部分今天的说相符询问,这些漏洞“对关键基础设施公司、美国准许的国防承包商、学术机议和其他操纵该柔件的实体组成了主要胁迫”。

您能够望到因为:成功行使lynchpin坦然机制能够为抨击者铺平道路。详细说,正如提出中逆复挑到的,抨击者能够行使该漏洞撬开坦然退守,以损坏管理员凭据、在网络中横向移动以及泄露注册外配置单元和AD文件。

这是任何企业都关心的题目,但对于Zoho,吾们谈论的是一个被关键基础设施公司、美国准许的国防承包商和学术机构等操纵的坦然解决方案。

说相符询问称,APT构造实际上已经瞄准了众个走业的此类实体,包括运输、IT、制造、通信、物流和金融。

该询问指出:“作恶获得的访问和新闻能够会扰乱公司运营并推翻美国在众个周围的钻研。”“成功行使该漏洞可使抨击者安放webshellBOB综合体育在线,从而使对手能够进走后行使运动,例如损坏管理员凭据、进走横向移动以及泄露注册外配置单元和ActiveDirectory文件。”

确认漏洞行使能够很难得

成功的抨击是上传一个包含JavaServerPageswebshell的.zip文件,该文件假装成x509证书service.cer,可在/help/admin-guide/Reports/ReportGenerate.jsp上访问。接下是对分歧API端点的乞求,以进一步行使现在的体系。

漏洞行使的下一步是操纵WindowsManagementInstrumentation横向移动,获得对域限制器的访问权限,转储NTDS.dit和SECURITY/SYSTEM注册外配置单元,然后从那里进一步损坏访问。

“确认ManageEngineADSelfServicePlus的成功迁就能够很难得,”坦然机构提出说,由于抨击者正在运走修整脚本,旨在经历删除初起迁就点的痕迹,BOB综合体育在线并暧昧CVE-2021-40539和webshell之间的任何有关擦除他们的踪迹。

该询问提出挑供了胁迫走为者漏洞行使时所操纵的策略、技术和流程的清单:

 用于横向移动和长途代码实走的WMI 操纵从受感染的ADSelfServicePlus主机获取的明文凭据  操纵pg_dump.exe转储ManageEngine数据库  转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册外配置单元 经历webshell进走渗漏 行使受损的美国基础设施进走的后开发运动 删除特定的、过滤的日志走 缓解措施

三个机构指使在ManageEngineADSelfServicePlus安置周围检测到迁就指标的构造“答立即采取走动”。

三人外示:“FBI、CISA和CGCYBER剧烈请求用户和管理员更新到ADSelfServicePlusbuild6114。”他们还剧烈敦促构造避免经历互联网直接访问ADSelfServicePlus。

同时他们还剧烈提出倘若发现任何迹象外明NTDS.dit文件已被损坏”在域周围内重置暗号并重置双Kerberos票证付与票证暗号。

造成的损坏

事件相答公司BreachQuest的说相符创起人兼始席技术官杰克威廉姆斯外示构造答该仔细到即胁迫走为者不息在操纵webshell行为漏洞行使后的有效payload。在行使这个Zoho漏洞的情况下他们操纵假装成证书的webshell:坦然团队答该能够在web服务器日志中获取的东西但“只有在构造有检测计划的情况下”。

他在周四对Threatpost外示时间不等人:“鉴于这一定不是导致WebShell安放的末了一个漏洞提出构造在其Web服务器日志中竖立平常走为的基线以便他们能够迅速发现何时已经安放了一个webshell。”

网络坦然公司Vectra的始席技术官奥利弗·塔瓦科利暗号重置’自己一定会造成损坏而且APT构造能够在此期间竖立了其他持久性手段。”

数字风险珍惜挑供商DigitalShadows的高级网络胁迫情报分析师SeanNikkel指出这个ManageEngine漏洞是今年ManageEngine展现的相通主要漏洞的第五个实例。祸患的是考虑到抨击者能够从行使云云的漏洞中获得众少访问权限他们能够会更普及地行使此漏洞和以前的漏洞“鉴于与Microsoft体系进程的交互性”。

Nikkel不息进走另一个哀不悦目的展望:“APT构造正在积极行使CVE-2021-40539的表象外明它能够造成的湮没风险。倘若趋势相反勒索构造能够会在不久的将追求行使CVE-2021-40539进走勒索柔件运动的手段。”

一切这些都指向了CISA等人不息在敦促的:尽快进走漏洞修缮。Zoho柔件的用户答立即行使补丁以避免CISA公告中描述的危害。

本文翻译自:https://threatpost.com/cisa-fbi-state-backed-apts-exploit-critical-zoho-bug/174768/如若转载请注解原文地址。

鸿蒙官方战略配相符共建——HarmonyOS技术社区 初学程答该先学哪栽说话? 人民币只在国内才叫“人民币”出了国就变了称呼?许众人弄错了 升级iOS14.8后耗电主要?分享10个iPhone省电竖立适用一切机型 iOS15正式版了这些功能不走用 显明性能已经基本削减为什么6年前的iPhone6S还能升级iOS15?


Powered by BOB(中国)官方入口-BOB体育官网登陆 @2018 RSS地图 HTML地图