20/09/21
ФБР, CISA и Киберкомандование береговой охраны (Coast Guard Cyber Command, CGCYBER) сообщили об атаках киберпреступных APT-группировок, в ходе которых активно используется критическая уязвимость в решении для единого входа и управления паролями Zoho. В список клиентов Zoho входят три из пяти компаний из списка Fortune 500, включая Apple, Intel, Nike, PayPal, HBO и пр.
Уязвимость ( CVE-2021-40539 ) была обнаружена в программном обеспечении Zoho ManageEngine ADSelfService Plus. Ее эксплуатация позволяет перехватывать контроль над компьютерными системами.
По словам экспертов, эксплуатация уязвимости в ManageEngine ADSelfService Plus представляет серьезный риск для критически важных инфраструктурных компаний, оборонных подрядчиков, академических институтов и других организаций, использующих это программное обеспечение.
Успешное использование уязвимости позволяет злоумышленнику размещать web-оболочки и проводить постэксплуатационные действия, такие как компрометация учетных данных администратора, выполнение перемещения по сети и удаление групп реестра и файлов Active Directory.
В зафиксированных атаках преступники устанавливают web-оболочку JavaServer Pages (JSP), замаскированную под сертификат x509. Web-оболочка впоследствии используется для перемещения по сети через Windows Management Instrumentation (WMI) для доступа к контроллерам домена и дампа NTDS.dit и групп реестра SECURITY/SYSTEM.
APT-группировки нацелены на широкий спектр секторов — от академических учреждений и оборонных подрядчиков до критически важных объектов инфраструктуры (например сфера транспорта, информационных технологий, производства, связи, логистики и финансов).
Специалисты Zoho исправили уязвимость в версии Zoho ManageEngine ADSelfService Plus build 6114. ФБР, CISA и CGCYBER призывают организации немедленно обновиться до ADSelfService Plus build 6114 и обеспечить отсутствие прямого доступа к ADSelfService Plus из интернета.
