Μια ομάδα εξελιγμένων Hackers που εκμεταλλευόταν ένα exploit στο λογισμικό Zoho ManageEngine ADSelfService Plus, έχει στραφεί στην εκμετάλλευση μιας διαφορετικής ευπάθειας σε ένα άλλο προϊόν Zoho.
Δείτε επίσης: Η Zoho επιδιορθώνει εκμεταλλεύσιμο σφάλμα στο ADSelfService Plus
Η ομάδα εκμεταλλεύεται ένα exploit εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας, στις εκδόσεις Zoho ServiceDesk Plus 11305 και παλαιότερες, που επί του παρόντος αναφέρεται ως CVE-2021-44077.
Η Zoho αντιμετώπισε το ελάττωμα RCE στις 16 Σεπτεμβρίου 2021 και στις 22 Νοεμβρίου 2021, η εταιρεία δημοσίευσε μια ειδοποίηση ασφαλείας για να προειδοποιήσει τους πελάτες για ενεργή εκμετάλλευση. Ωστόσο, οι χρήστες άργησαν να ενημερώσουν τα συστήματά τους και παρέμειναν ευάλωτοι σε επιθέσεις.
Σύμφωνα με μια αναφορά από τη Unit42 της Palo Alto Networks, δεν υπάρχει δημόσια απόδειξη της εκμετάλλευσης του CVE-2021-44077, γεγονός που υποδηλώνει ότι η ομάδα APT που την αξιοποιεί ανέπτυξε η ίδια τον κώδικα εκμετάλλευσης και τον χρησιμοποιεί αποκλειστικά προς το παρόν.
Δείτε ακόμα: FBI και CISA: Χάκερ εκμεταλλεύονται ένα κρίσιμο bug Zoho
Οι Hackers εκμεταλλεύονται το exploit στέλνοντας δύο αιτήματα στο REST API, ένα για τη μεταφόρτωση ενός εκτελέσιμου αρχείου (msiexec.exe) και ένα για την εκκίνηση του ωφέλιμου φορτίου.
Αυτή η διαδικασία πραγματοποιείται εξ αποστάσεως και δεν απαιτεί έλεγχο ταυτότητας στον ευάλωτο διακομιστή ServiceDesk.
Όταν το ServiceDesk εκτελεί το ωφέλιμο φορτίο, δημιουργείται ένα mutex και μια hardcoded λειτουργική μονάδα Java γράφεται στο “../lib/tomcat/tomcat-postgres.jar“, μια παραλλαγή του κελύφους ιστού “Godzilla” που φορτώνεται στο ServiceDesk αφού σκοτώσει το “java”. .exe’ και κάνει επανεκκίνηση της διαδικασίας.
Σύμφωνα με τους ερευνητές, η ομάδα χρησιμοποίησε το ίδιο μυστικό κλειδί webshell που εμφανίστηκε στην καμπάνια ADSelfService Plus, αλλά αυτή τη φορά εγκαθίσταται ως φίλτρο Java Servlet Apache Tomcat.
Δείτε επίσης: Κινέζοι hackers χρησιμοποιούν Cisco, Citrix, Zoho Exploits και επιτίθενται!
Η Palo Alto Networks έχει ανακαλύψει στοιχεία που μπορεί να συνδέουν αυτές τις επιθέσεις με την κινεζική ομάδα APT27 (Emissary Panda), η οποία έχει αναπτύξει στο παρελθόν το Godzilla εναντίον στόχων υψηλού προφίλ, αλλά οι ενδείξεις είναι ανεπαρκείς για σαφή απόδοση.
Συνιστάται στους οργανισμούς να επιδιορθώσουν το λογισμικό Zoho το συντομότερο δυνατό και να ελέγξουν όλα τα αρχεία που έχουν δημιουργηθεί στους καταλόγους ServiceDesk Plus από τις αρχές Οκτωβρίου 2021.
