Το FBI προειδοποιεί ότι μια ευπάθεια zero-day στο ManageEngine Desktop Central της Zoho χρησιμοποιείται από hackers που υποστηρίζονται από κυβερνήσεις (αυτές οι hacking ομάδες είναι γνωστές και ως APTs).
“Τουλάχιστον από τα τέλη Οκτωβρίου 2021, hackers από APT ομάδες εκμεταλλεύονται το zero-day bug, που είναι γνωστό ως CVE-2021-44515, και εντοπίζεται σε ManageEngine Desktop Central servers“, δήλωσε το FBI.
Δείτε επίσης: Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan
“Εντοπίστηκαν hackers που παραβίαζαν Desktop Central servers εγκαθιστώντας ένα webshell που παρακάμπτει μια νόμιμη λειτουργία του Desktop Central, κατέβαζαν post-exploitation εργαλεία, πραγματοποιούσαν network reconnaissance, επιχειρούσαν lateral movement και έκλεβαν credentials“.
Η zero-day ευπάθεια διορθώθηκε από τη Zoho στις αρχές Δεκεμβρίου. Είναι μια κρίσιμη “ευπάθεια authentication bypass” που θα μπορούσαν να εκμεταλλευτούν οι εγκληματίες για να εκτελέσουν κώδικα σε ευάλωτους Desktop Central servers.
Η CISA αναγνώρισε επίσης την ευπάθεια ως κρίσιμη και έχει ζητήσει από τις ομοσπονδιακές υπηρεσίες να ενημερώσουν τα συστήματά τους πριν από τα Χριστούγεννα.
Δείτε επίσης: Υπουργείο Άμυνας του Βελγίου: Επιβεβαιώνει κυβερνοεπίθεση μέσω Log4j
Οι πελάτες κλήθηκαν να ενημερώσουν τα συστήματά τους
Μετά την κυκλοφορία του patch για τη διόρθωση της zero-day ευπάθειας, η Zoho προειδοποίησε τους πελάτες για τις συνεχείς προσπάθειες εκμετάλλευσης του bug, και τους προέτρεψε να χρησιμοποιήσουν αμέσως τις ενημερώσεις ασφαλείας για να παραμείνουν προστατευμένοι.
Για να εντοπίσετε εάν ο servers σας παραβιάστηκε μέσω αυτής της zero-day ευπάθειας, μπορείτε να χρησιμοποιήσετε το Exploit Detection Tool της Zoho και να ακολουθήσετε τα βήματα που περιγράφονται εδώ.
Η εταιρεία συνιστά, επίσης, τη δημιουργία αντιγράφων ασφαλείας για τα κρίσιμα επιχειρηματικά δεδομένα, την αποσύνδεση των επηρεαζόμενων συστημάτων δικτύου, την πραγματοποίηση format σε όλους τους servers που έχουν παραβιαστεί, την επαναφορά του Desktop Central και την ενημέρωση στην πιο πρόσφατη έκδοση.
Δείτε επίσης: Η Microsoft διορθώνει δύο bugs Active Directory
Εάν εντοπιστούν ενδείξεις παραβίασης, η Zoho συνιστά την επαναφορά κωδικών πρόσβασης “για όλες τις υπηρεσίες, λογαριασμούς, Active Directory κ.λπ. που έχουν επηρεαστεί”, μαζί με τα Active Directory administrator passwords.
Σύμφωνα με το Shodan, υπάρχουν πάνω από 2.900 ManageEngine Desktop Central instances που είναι ευάλωτα σε επιθέσεις.
Πηγή: Bleeping Computer