Το FBI, η CISA και η Κυβερνητική Διοίκηση του Λιμενικού Σώματος (CGCYBER) προειδοποίησαν σήμερα ότι οι υποστηριζόμενες από το κράτος ομάδες persistent threat (APT) εκμεταλλεύονται από τις αρχές Αυγούστου 2021 ένα κρίσιμο bug σε ένα σύστημα της εταιρείας Zoho.
Δείτε επίσης: Patch Tuesday Σεπτεμβρίου 2021: Η Microsoft διορθώνει κρίσιμα bugs
Η λίστα πελατών της Zoho περιλαμβάνει “τρεις στις πέντε εταιρείες Fortune 500”, συμπεριλαμβανομένων των Apple, Intel, Nike, PayPal, HBO και πολλές άλλες.
Η ευπάθεια που εντοπίστηκε ως CVE-2021-40539 βρέθηκε στο software Zoho ManageEngine ADSelfService Plus και επιτρέπει στους επιτιθέμενους να «αναλάβουν» ευάλωτα συστήματα μετά από ένα επιτυχές exploitation.
Δείτε επίσης: Netgear: Διορθώνει σοβαρά bugs σε πάνω από δώδεκα smart switches
Οι επιθέσεις στοχεύουν και οργανισμούς κρίσιμων υποδομών
Αυτή το advisory ακολουθεί μια προηγούμενη προειδοποίηση που είχε εκδώσει η CISA την προηγούμενη εβδομάδα, η οποία προειδοποιούσε για το CVE-2021-40539 το οποίο θα μπορούσε να επιτρέψει στους απειλητικούς φορείς να εκτελέσουν κακόβουλο κώδικα εξ αποστάσεως σε παραβιασμένα συστήματα.
Σε περιστατικά όπου έχουν χρησιμοποιηθεί exploits CVE-2021-40539, παρατηρήθηκαν επιτιθέμενοι να αναπτύσσουν ένα web shell JavaServer Pages (JSP) που καμουφλάρεται ως πιστοποιητικό x509.
Αυτό το web shell χρησιμοποιείται στη συνέχεια για πλευρική μετακίνηση μέσω του Windows Management Instrumentation (WMI) για πρόσβαση σε domain controllers και απόρριψη registry hives NTDS.dit και SECURITY/SYSTEM.
Μέχρι στιγμής, οι ομάδες APT πίσω από αυτές τις επιθέσεις έχουν στοχεύσει μια εκτεταμένη σειρά τομέων από ακαδημαϊκά ιδρύματα και εργολάβους άμυνας έως φορείς ζωτικής σημασίας.
Δείτε επίσης: Bug του Google app σε Android δημιουργεί θέμα στις κλήσεις
Μέτρα mitigation
Η Zoho κυκλοφόρησε το Zoho ManageEngine ADSelfService Plus build 6114, το οποίο επιδιόρθωσε την ευπάθεια CVE-2021-40539 στις 6 Σεπτεμβρίου.
Σε μια επακόλουθη ειδοποίηση ασφαλείας, η εταιρεία πρόσθεσε ότι “παρατηρεί ενδείξεις για την εκμετάλλευση αυτής της ευπάθειας”.
Το FBI, η CISA και η CGCYBER παροτρύνουν τους οργανισμούς να εφαρμόσουν αμέσως την ενημερωμένη έκδοση του ADSelfService Plus build 6114 και να διασφαλίσουν ότι το ADSelfService Plus δεν είναι άμεσα προσβάσιμο από το διαδίκτυο.
Οι οργανισμοί που εντοπίζουν κακόβουλη δραστηριότητα που σχετίζεται με το ManageEngineADSelfService Plus συνιστάται να το αναφέρουν αμέσως ως περιστατικό στη CISA ή στο FBI.
Πηγή πληροφοριών: bleepingcomputer.com
