无限时间免费看片
Welcome!

  • 首页
  • 午夜福利
  • 在线观看
  • ZAIXIANGUANKAN

    在线观看

    CISA、FBI:民族国家APT布局能够正在行使Zoho漏洞

    发布时间:2021-09-30  点击量:

    海岸警卫队网络司令部(CGCYBER)今天警告说,自上月初以来不息有人在积极行使Zoho单点登录和暗号管理工具中新发现的漏洞,而一些国家声援的高级不息胁迫(APT)参与者能够是其中之一。

    题目是Zoho ManageEngine ADSelfService Plus平台中的一个主要的身份验证绕过漏洞,该漏洞可导致长途代码实走(RCE),从而为堂堂皇皇的抨击者掀开公司大门,抨击者能够解放限制用户的Active Directory(AD)和云帐户。

    Zoho ManageEngine ADSelfService Plus是一个针对AD和云行使程序的自立式暗号管理和单点登录(SSO)平台,这意味着任何能够限制该平台的网络抨击者都会在两个关键义务行使程序(和他们的敏感数据)中拥有众个轴心点。换句话说,它是一个功能重大的、高度特权的行使程序,不论是对用户照样抨击者都能够行为一个进入企业内部各个周围的便捷入口点。

    上周二,Zoho针对该漏洞发布了一个补丁-Zoho ManageEngine ADSelfService Plus build 6114,该漏洞被追踪为CVE-2021-40539,主要性等级为9.8。正如网络坦然和基础设施坦然局(CISA)那时警告的那样,它正在行为0day漏洞在田园被积极行使。

    按照FBI、CISA和CGCYBER这三个当局网络坦然部分今天的说相符询问,这些漏洞“对关键基础设施公司、美国准许的国防承包商、学术机议和其他行使该柔件的实体组成了主要胁迫”。

    您能够望到因为:成功行使lynchpin坦然机制(如SSO和暗号处理程序)能够为抨击者铺平道路。详细来说,正如提出中逆复挑到的,抨击者能够行使该漏洞来撬开坦然退守,以损坏管理员凭据、在网络中横向移动以及泄露注册外配置单元和AD文件。

    这是任何企业都关心的题目,但对于Zoho,吾们谈论的是一个被关键基础设施公司、美国准许的国防承包商和学术机构等行使的坦然解决方案。

    说相符询问称,APT布局实际上已经瞄准了众个走业的此类实体,包括运输、IT、制造、通信、物流和金融。

    该询问指出:“作恶获得的访问和新闻能够会扰乱公司运营并推翻美国在众个周围的钻研。”“成功行使该漏洞可使抨击者安放webshell,从而使对手能够进走后行使运动,例如损坏管理员凭据、进走横向移动以及泄露注册外配置单元和Active Directory文件。”

    确认漏洞行使能够很难得

    成功的抨击是上传一个包含JavaServer Pages(JSP)webshell的.zip文件,该文件假装成x509证书service.cer,可在/help/admin-guide/Reports/ReportGenerate.jsp上访问。接下来是对迥异API端点的乞求,以进一步行使现在的编制。

    漏洞行使的下一步是行使Windows Management Instrumentation(WMI)横向移动,获得对域限制器的访问权限,转储NTDS.dit和SECURITY/SYSTEM注册外配置单元,然后从那里进一步损坏访问。

    “确认ManageEngine ADSelfService Plus的成功迁就能够很难得,”坦然机构提出说,由于抨击者正在运走修整脚本,旨在经历删除初首迁就点的痕迹,并暧昧CVE-2021-40539和webshell之间的任何有关,来擦除他们的踪迹。

    该询问提出挑供了胁迫走为者漏洞行使时所行使的策略、技术和流程(TTP)的清单:

     用于横向移动和长途代码实走的WMI(wmic.exe) 行使从受感染的ADSelfService Plus主机获取的明文凭据  行使pg_dump.exe转储ManageEngine数据库  转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册外配置单元 经历webshell进走渗漏 行使受损的美国基础设施进走的后开发运动 删除特定的、过滤的日志走 缓解措施

    三个机构指使,在ManageEngine ADSelfService Plus安设周围检测到迁就指标(IoC)的布局“答立即采取走动”。

    三人外示:“FBI、CISA和CGCYBER剧烈请求用户和管理员更新到ADSelfService Plus build 6114。”他们还剧烈敦促布局避免经历互联网直接访问ADSelfService Plus。

    同时他们还剧烈提出倘若发现任何迹象外明NTDS.dit文件已被损坏”,在域周围内重置暗号,并重置双Kerberos票证赋予票证(TGT)暗号。

    造成的损坏

    事件反响公司BreachQuest的说相符创首人兼首席技术官杰克威廉姆斯外示,布局答该仔细到,即胁迫走为者不息在行使webshell行为漏洞行使后的有效payload。在行使这个Zoho漏洞的情况下,他们行使假装成证书的webshell:坦然团队答该能够在web服务器日志中获取的东西,但“只有在布局有检测计划的情况下”。

    他在周四对Threatpost外示,时间不等人:“鉴于这一定不是导致Web Shell安放的末了一个漏洞,提出布局在其Web服务器日志中竖立平常走为的基线,以便他们能够迅速发现何时已经安放了一个web shell。”

    网络坦然公司Vectra的首席技术官奥利弗·塔瓦科利(Oliver Tavakoli)指出,在编制中发现一个旨在协助您的员工管理和重置暗号的关键漏洞“实在听首来很糟糕”。“即使无法从互联网访问ADSelfService Plus服务器,也能够从任何受感染的笔记本电脑访问它。恢复的费用专门之高——‘全域暗号重置和双重Kerberos票证赋予票证(TGT)暗号重置’自己一定会造成损坏,而且APT布局能够在此期间竖立了其他持久性手段。”

    数字风险珍惜挑供商Digital Shadows的高级网络胁迫情报分析师Sean Nikkel指出,这个ManageEngine漏洞是今年ManageEngine展现的相通主要漏洞的第五个实例。灾害的是,考虑到抨击者能够从行使云云的漏洞中获得众少访问权限,他们能够会更普及地行使此漏洞和以前的漏洞,“鉴于与Microsoft编制进程的交互性”。

    Nikkel不息进走另一个哀不都雅的展望:“APT布局正在积极行使CVE-2021-40539的形象外明它能够造成的湮没风险。倘若趋势相反,勒索布局能够会在不久的异日追求行使CVE-2021-40539进走勒索柔件运动的手段。”

    一切这些都指向了CISA等人不息在敦促的:尽快进走漏洞修缮。Zoho柔件的用户答立即行使补丁,以避免CISA公告中描述的危害。

    本文翻译自:https://threatpost.com/cisa-fbi-state-backed-apts-exploit-critical-zoho-bug/174768/如若转载,请注解原文地址。

    【编辑选举】

    鸿蒙官方战略配相符共建——HarmonyOS技术社区 初学编程,答该先学哪栽说话? 人民币只在国内才叫“人民币”,出了国就变了称呼?许众人弄错了 升级iOS14.8后耗电主要?分享10个iPhone省电竖立,适用一切机型 iOS 15 正式版来了,这些功能不能用 显明性能已经基本削减,为什么6年前的iPhone 6S还能升级iOS15?

    Powered by 无限时间免费看片 @2013-2021 RSS地图 HTML地图