海岸警卫队网络司令部(CGCYBER)今天警告说,自上月初以来一直有人在积极利用Zoho单点登录和密码管理工具中新发现的漏洞,而一些国家支持的高级持续威胁(APT)参与者可能是其中之一。
问题是Zoho ManageEngine ADSelfService Plus平台中的一个严重的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者可以自由控制用户的Active Directory(AD)和云帐户。
Zoho ManageEngine ADSelfService Plus是一个针对AD和云应用程序的自助式密码管理和单点登录(SSO)平台,这意味着任何能够控制该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话说,它是一个功能强大的、高度特权的应用程序,无论是对用户还是攻击者都可以作为一个进入企业内部各个领域的便捷入口点。
上周二,Zoho针对该漏洞发布了一个补丁-Zoho ManageEngine ADSelfService Plus build 6114,该漏洞被追踪为CVE-2021-40539,严重性等级为9.8。正如网络安全和基础设施安全局(CISA)当时警告的那样,它正在作为0day漏洞在野外被积极利用。
根据FBI、CISA和CGCYBER这三个政府网络安全部门今天的联合咨询,这些漏洞“对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用该软件的实体构成了严重威胁”。
您可以看到原因:成功利用lynchpin安全机制(如SSO和密码处理程序)可以为攻击者铺平道路。具体来说,正如建议中反复提到的,攻击者可以利用该漏洞来撬开安全防御,以破坏管理员凭据、在网络中横向移动以及泄露注册表配置单元和AD文件。
这是任何企业都关心的问题,但对于Zoho,我们谈论的是一个被关键基础设施公司、美国批准的国防承包商和学术机构等使用的安全解决方案。
联合咨询称,APT组织实际上已经瞄准了多个行业的此类实体,包括运输、IT、制造、通信、物流和金融。
该咨询指出:“非法获得的访问和信息可能会扰乱公司运营并颠覆美国在多个领域的研究。”“成功利用该漏洞可使攻击者放置webshell,从而使对手能够进行后利用活动,例如破坏管理员凭据、进行横向移动以及泄露注册表配置单元和Active Directory文件。”
确认漏洞利用可能很困难
成功的攻击是上传一个包含JavaServer Pages(JSP)webshell的.zip文件,该文件伪装成x509证书service.cer,可在/help/admin-guide/Reports/ReportGenerate.jsp上访问。接下来是对不同API端点的请求,以进一步利用目标系统。
漏洞利用的下一步是使用Windows Management Instrumentation(WMI)横向移动,获得对域控制器的访问权限,转储NTDS.dit和SECURITY/SYSTEM注册表配置单元,然后从那里进一步破坏访问。
“确认ManageEngine ADSelfService Plus的成功妥协可能很困难,”安全机构建议说,因为攻击者正在运行清理脚本,旨在通过删除初始妥协点的痕迹,并模糊CVE-2021-40539和webshell之间的任何关系,来擦除他们的踪迹。
该咨询建议提供了威胁行为者漏洞利用时所使用的策略、技术和流程(TTP)的清单:
· 用于横向移动和远程代码执行的WMI(wmic.exe)
· 使用从受感染的ADSelfService Plus主机获取的明文凭据
· 使用pg_dump.exe转储ManageEngine数据库
· 转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册表配置单元
· 通过webshell进行渗漏
· 利用受损的美国基础设施进行的后开发活动
· 删除特定的、过滤的日志行
缓解措施
三个机构指示,在ManageEngine ADSelfService Plus安装周围检测到妥协指标(IoC)的组织“应立即采取行动”。
三人表示:“FBI、CISA和CGCYBER强烈要求用户和管理员更新到ADSelfService Plus build 6114。”他们还强烈敦促组织避免通过互联网直接访问ADSelfService Plus。
同时他们还强烈建议如果发现任何迹象表明NTDS.dit文件已被破坏”,在域范围内重置密码,并重置双Kerberos票证授予票证(TGT)密码。
造成的破坏
事件响应公司BreachQuest的联合创始人兼首席技术官杰克威廉姆斯表示,组织应该注意到,即威胁行为者一直在使用webshell作为漏洞利用后的有效payload。在利用这个Zoho漏洞的情况下,他们使用伪装成证书的webshell:安全团队应该能够在web服务器日志中获取的东西,但“只有在组织有检测计划的情况下”。
他在周四对Threatpost表示,时间不等人:“鉴于这肯定不是导致Web Shell部署的最后一个漏洞,建议组织在其Web服务器日志中建立正常行为的基线,以便他们可以快速发现何时已经部署了一个web shell。”
网络安全公司Vectra的首席技术官奥利弗·塔瓦科利(Oliver Tavakoli)指出,在系统中发现一个旨在帮助您的员工管理和重置密码的关键漏洞“确实听起来很糟糕”。“即使无法从互联网访问ADSelfService Plus服务器,也可以从任何受感染的笔记本电脑访问它。恢复的费用非常之高——‘全域密码重置和双重Kerberos票证授予票证(TGT)密码重置’本身肯定会造成破坏,而且APT组织可能在此期间建立了其他持久性方法。”
数字风险保护提供商Digital Shadows的高级网络威胁情报分析师Sean Nikkel指出,这个ManageEngine漏洞是今年ManageEngine出现的类似严重漏洞的第五个实例。不幸的是,考虑到攻击者可以从利用这样的漏洞中获得多少访问权限,他们可能会更广泛地利用此漏洞和以前的漏洞,“鉴于与Microsoft系统进程的交互性”。
Nikkel继续进行另一个悲观的预测:“APT组织正在积极利用CVE-2021-40539的现象表明它可能造成的潜在风险。如果趋势一致,勒索组织可能会在不久的将来寻求利用CVE-2021-40539进行勒索软件活动的方法。”
所有这些都指向了CISA等人一直在敦促的:尽快进行漏洞修补。Zoho软件的用户应立即应用补丁,以避免CISA公告中描述的危害。
本文翻译自:https://threatpost.com/cisa-fbi-state-backed-apts-exploit-critical-zoho-bug/174768/如若转载,请注明原文地址