CISA предупреждава, че участниците в APT използват новооткритата уязвимост в ManageEngine ADSelfService Plus

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

CISA е настояване потребители на Zoho’s ManageEngine ADSelfService Plus, за да актуализират своите инструменти, като отбелязват, че участниците в APT активно експлоатират наскоро открита уязвимост.

Zoho ManageEngine ADSelfService Plus build 6114, който Zoho Публикувано на 6 септември 2021 г., отстранява уязвимостта.

ManageEngine ADSelfService Plus е широко използвано решение за управление на пароли за самообслужване и еднократно влизане. Критичната уязвимост на байпаса за удостоверяване засяга URL адресите на интерфейса за програмиране (API) на приложния програмен интерфейс за предаване на състоянието на представяне (REST), които биха могли да позволят отдалечено изпълнение на код.

В съвместно съобщение, изпратено тази седмица, CISA, ФБР и Кибер командването на бреговата охрана на САЩ заявиха, че участниците в APT вече са насочени към „академични институции, контрагенти в областта на отбраната и критични инфраструктурни обекти в множество индустриални сектори – включително транспорт, ИТ, производство, комуникации , логистика и финанси. “

Според CISA киберпрестъпниците и националните държави, използващи уязвимостта, могат да качат .zip файл, съдържащ уеб черупка на JavaServer Pages (JSP), маскирана като сертификат x509: service.cer. Оттам се отправят повече заявки към различни крайни точки на API за по -нататъшно използване на системата на жертвата, според препоръките.

“След първоначалната експлоатация, JSP уеб обвивката е достъпна на /help/admin-guide/Reports/ReportGenerate.jsp. След това нападателят се опитва да се движи странично с помощта на инструментите за управление на Windows (WMI), да получи достъп до контролер на домейн, да изхвърли NTDS. dit и кошерите в системния регистър на SECURITY/SYSTEM и след това продължава компрометирания достъп. Потвърждаването на успешен компромис с ManageEngine ADSelfService Plus може да е трудно-нападателите изпълняват скриптове за почистване, предназначени да премахнат следите от първоначалната точка на компромис и скрие всяка връзка между експлоатацията на уязвимостта и уеб обвивката “, обяснява CISA.

“Незаконно получен достъп и информация могат да нарушат операциите на компанията и да попречат на американските изследвания в множество сектори. Успешното използване на уязвимостта позволява на нападателя да постави уеб черупки, които позволяват на противника да извършва дейности след експлоатация, като компрометиране на идентификационните данни на администратора, извършване на странично движение и извличане на кошерите в системния регистър и файловете на Active Directory. ”

CISA добави, че организациите трябва да гарантират, че ADSelfService не е директно достъпен от интернет, и препоръча „нулиране на парола за целия домейн и двойно нулиране на паролата за предоставяне на билети за Kerberos (TGT), ако се установи някаква индикация, че файлът NTDS.dit е компрометиран.“

Актьорите на заплахите експлоатират уязвимостта от август насам и CISA заяви, че са видели различни тактики, използвани за да се възползват от недостатъка, включително често записване на уеб черупки на диск за първоначална упоритост, замазване на файлове или информация, извършване на допълнителни операции за изхвърляне на идентификационни данни на потребителите и още.

Други са го използвали за добавяне или изтриване на потребителски акаунти, кражба на копия от базата данни на Active Directory, изтриване на файлове за премахване на индикатори от хоста и използване на помощните програми на Windows за събиране и архивиране на файлове за ексфилтрация.

Ситуацията е толкова сериозна, че ФБР заяви, че „използва специално обучени киберотряди във всеки от своите 56 офиса на място и CyWatch, денонощния оперативен център на ФБР и етажа за наблюдение, който осигурява денонощна поддръжка за проследяване на инциденти и комуникация с офиси на място в цялата страна и партньорски агенции. “

CISA също предлага помощ на засегнатите организации, а Кибер командването на бреговата охрана на САЩ заяви, че осигурява специфично кибер покритие за критичната инфраструктура на морската транспортна система.

Оливър Таваколи, главен технически директор на Vectra, заяви пред ZDNet, че намирането на критична уязвимост в системата, предназначена да помогне на служителите да управляват и нулират паролите си, е „толкова лошо, колкото звучи“.

Дори сървърът ADSelfService Plus да не е достъпен от интернет, той би бил достъпен от всеки компрометиран лаптоп, отбеляза Таваколи.

Той добави, че възстановяването от атака ще бъде скъпо, тъй като „нулирането на парола в целия домейн и двойното нулиране на парола за предоставяне на билети за Kerberos Ticket (TGT)“ са разрушителни сами по себе си. Групите на APT може да са установили други средства за постоянство през това време, отбеляза той.

Главният технически директор на BreachQuest Джейк Уилямс каза, че е важно организациите да отбележат честото използване на уеб обвивки като полезен товар след експлоатация.

“В този случай са наблюдавани участници в заплахата, използващи уеб обвивки, прикрити като сертификати. Този вид дейност трябва да се откроява в регистрационните файлове на уеб сървъра – но само ако организациите имат план за откриване”, каза Уилямс.

“Като се има предвид, че това със сигурност няма да е последната уязвимост, която води до внедряване на уеб обвивка, организациите се съветват да изхождат от нормалното поведение в своите регистрационни файлове на уеб сървъра, за да могат бързо да открият кога е разгърната уеб обвивка.”

Други експерти, като старши анализатор на Intel за кибер заплахи от Digital Shadows, Шон Никел, обясниха, че този проблем е петият случай на подобни, критични уязвимости от ManageEngine тази година.

Тези уязвимости са сериозни, тъй като позволяват или отдалечено изпълнение на код, или възможност за заобикаляне на контролите за сигурност, каза Никел пред ZDNet.

“Тъй като услугата взаимодейства с Active Directory, предоставянето на достъп на нападателите може да доведе само до лоши неща, като например контролиране на контролери на домейни или други услуги. След това нападателите могат да се възползват от” смесването с шума “на ежедневната системна дейност. Разумно е да се предположи че ще има по -широко използване на тази и предишни уязвимости предвид взаимодействието със системните процеси на Microsoft “, каза той.

“Наблюдението, че групите на APT активно експлоатират CVE-2021-40539, трябва да подчертае потенциалната експозиция, която може да причини. Ако тенденциите са последователни, групите за изнудване вероятно ще търсят експлоатация за активност на ransomware в не толкова далечното бъдеще. Потребители на софтуера на Zoho трябва незабавно да приложи корекции, за да избегне типовете компромиси, описани в бюлетина на CISA. “

Уязвимостта е част от по -голяма тенденция на проблеми, открити със софтуерните инструменти за управление на системите. Изпълнителният директор на Vulcan Cyber ​​Янив Бар-Даян го сравнява с последните проблеми със SolarWinds, отворена инфраструктура за управление (OMI), сол и др.

“Като се има предвид количеството достъп и контрол, който имат тези инструменти, е изключително важно екипите за ИТ сигурност да предприемат незабавни стъпки за пълно отстраняване. Zoho има кръпка, но това е само кръпка за един уязвим компонент от това, което е многопластова, напреднала устойчива заплаха “, добави Янив Бар-Даян.

“Приложете пластира, но също така не забравяйте да премахнете директния достъп до софтуера ManageEngine от Интернет, където е възможно. Ако групите APT получат достъп до инструментите за управление на системите, те получават ключовете за кралството. Придвижете се бързо.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •