海岸警衛(wèi)隊網(wǎng)絡(luò)司令部（CGCYBER）今天警告說，自上月初以來一直有人在積極利用Zoho單點登錄和密碼管理工具中新發(fā)現(xiàn)的漏洞，而一些國家支持的高級持續(xù)威脅（APT）參與者可能是其中之一。

　　問題是Zoho ManageEngine ADSelfService Plus平臺中的一個嚴重的身份驗證繞過漏洞，該漏洞可導致遠程代碼執(zhí)行（RCE），從而為肆無忌憚的攻擊者打開公司大門，攻擊者可以自由控制用戶的Active Directory（AD）和云帳戶。

　　Zoho ManageEngine ADSelfService Plus是一個針對AD和云應(yīng)用程序的自助式密碼管理和單點登錄（SSO）平臺，這意味著任何能夠控制該平臺的網(wǎng)絡(luò)攻擊者都會在兩個關(guān)鍵任務(wù)應(yīng)用程序（和他們的敏感數(shù)據(jù)）中擁有多個軸心點。換句話說，它是一個功能強大的、高度特權(quán)的應(yīng)用程序，無論是對用戶還是攻擊者都可以作為一個進入企業(yè)內(nèi)部各個領(lǐng)域的便捷入口點。

　　上周二，Zoho針對該漏洞發(fā)布了一個補丁-Zoho ManageEngine ADSelfService Plus build 6114，該漏洞被追蹤為CVE-2021-40539，嚴重性等級為9.8。正如網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）當時警告的那樣，它正在作為0day漏洞在野外被積極利用。

　　根據(jù)FBI、CISA和CGCYBER這三個政府網(wǎng)絡(luò)安全部門今天的聯(lián)合咨詢，這些漏洞“對關(guān)鍵基礎(chǔ)設(shè)施公司、美國批準的國防承包商、學術(shù)機構(gòu)和其他使用該軟件的實體構(gòu)成了嚴重威脅”。

　　您可以看到原因：成功利用lynchpin安全機制（如SSO和密碼處理程序）可以為攻擊者鋪平道路。具體來說，正如建議中反復(fù)提到的，攻擊者可以利用該漏洞來撬開安全防御，以破壞管理員憑據(jù)、在網(wǎng)絡(luò)中橫向移動以及泄露注冊表配置單元和AD文件。

　　這是任何企業(yè)都關(guān)心的問題，但對于Zoho，我們談?wù)摰氖且粋€被關(guān)鍵基礎(chǔ)設(shè)施公司、美國批準的國防承包商和學術(shù)機構(gòu)等使用的安全解決方案。

　　聯(lián)合咨詢稱，APT組織實際上已經(jīng)瞄準了多個行業(yè)的此類實體，包括運輸、IT、制造、通信、物流和金融。

　　該咨詢指出：“非法獲得的訪問和信息可能會擾亂公司運營并顛覆美國在多個領(lǐng)域的研究?！薄俺晒迷撀┒纯墒构粽叻胖脀ebshell，從而使對手能夠進行后利用活動，例如破壞管理員憑據(jù)、進行橫向移動以及泄露注冊表配置單元和Active Directory文件?！?/p>

　　確認漏洞利用可能很困難

　　成功的攻擊是上傳一個包含JavaServer Pages（JSP）webshell的。zip文件，該文件偽裝成x509證書service.cer，可在/help/admin-guide/Reports/ReportGenerate.jsp上訪問。接下來是對不同API端點的請求，以進一步利用目標系統(tǒng)。

　　漏洞利用的下一步是使用Windows Management Instrumentation（WMI）橫向移動，獲得對域控制器的訪問權(quán)限，轉(zhuǎn)儲NTDS.dit和SECURITY/SYSTEM注冊表配置單元，然后從那里進一步破壞訪問。

　　“確認ManageEngine ADSelfService Plus的成功妥協(xié)可能很困難，”安全機構(gòu)建議說，因為攻擊者正在運行清理腳本，旨在通過刪除初始妥協(xié)點的痕跡，并模糊CVE-2021-40539和webshell之間的任何關(guān)系，來擦除他們的蹤跡。

　　該咨詢建議提供了威脅行為者漏洞利用時所使用的策略、技術(shù)和流程（TTP）的清單：

　　· 用于橫向移動和遠程代碼執(zhí)行的WMI（wmic.exe）

　　· 使用從受感染的ADSelfService Plus主機獲取的明文憑據(jù)

　　· 使用pg_dump.exe轉(zhuǎn)儲ManageEngine數(shù)據(jù)庫

　　· 轉(zhuǎn)儲NTDS.dit和SECURITY/SYSTEM/NTUSER注冊表配置單元

　　· 通過webshell進行滲漏

　　· 利用受損的美國基礎(chǔ)設(shè)施進行的后開發(fā)活動

　　· 刪除特定的、過濾的日志行

　　緩解措施

　　三個機構(gòu)指示，在ManageEngine ADSelfService Plus安裝周圍檢測到妥協(xié)指標（IoC）的組織“應(yīng)立即采取行動”。

　　三人表示：“FBI、CISA和CGCYBER強烈要求用戶和管理員更新到ADSelfService Plus build 6114?！彼麄冞€強烈敦促組織避免通過互聯(lián)網(wǎng)直接訪問ADSelfService Plus。

　　同時他們還強烈建議如果發(fā)現(xiàn)任何跡象表明NTDS.dit文件已被破壞“，在域范圍內(nèi)重置密碼，并重置雙Kerberos票證授予票證（TGT）密碼。

　　造成的破壞

　　事件響應(yīng)公司BreachQuest的聯(lián)合創(chuàng)始人兼首席技術(shù)官杰克威廉姆斯表示，組織應(yīng)該注意到，即威脅行為者一直在使用webshell作為漏洞利用后的有效payload。在利用這個Zoho漏洞的情況下，他們使用偽裝成證書的webshell：安全團隊應(yīng)該能夠在web服務(wù)器日志中獲取的東西，但”只有在組織有檢測計劃的情況下“。

　　他在周四對Threatpost表示，時間不等人：”鑒于這肯定不是導致Web Shell部署的最后一個漏洞，建議組織在其Web服務(wù)器日志中建立正常行為的基線，以便他們可以快速發(fā)現(xiàn)何時已經(jīng)部署了一個web shell?！?/p>

　　網(wǎng)絡(luò)安全公司Vectra的首席技術(shù)官奧利弗·塔瓦科利（Oliver Tavakoli）指出，在系統(tǒng)中發(fā)現(xiàn)一個旨在幫助您的員工管理和重置密碼的關(guān)鍵漏洞”確實聽起來很糟糕“?！奔词篃o法從互聯(lián)網(wǎng)訪問ADSelfService Plus服務(wù)器，也可以從任何受感染的筆記本電腦訪問它。恢復(fù)的費用非常之高——‘全域密碼重置和雙重Kerberos票證授予票證（TGT）密碼重置’本身肯定會造成破壞，而且APT組織可能在此期間建立了其他持久性方法?！?/p>

　　數(shù)字風險保護提供商Digital Shadows的高級網(wǎng)絡(luò)威脅情報分析師Sean Nikkel指出，這個ManageEngine漏洞是今年ManageEngine出現(xiàn)的類似嚴重漏洞的第五個實例。不幸的是，考慮到攻擊者可以從利用這樣的漏洞中獲得多少訪問權(quán)限，他們可能會更廣泛地利用此漏洞和以前的漏洞，”鑒于與Microsoft系統(tǒng)進程的交互性“。

　　Nikkel繼續(xù)進行另一個悲觀的預(yù)測：”APT組織正在積極利用CVE-2021-40539的現(xiàn)象表明它可能造成的潛在風險。如果趨勢一致，勒索組織可能會在不久的將來尋求利用CVE-2021-40539進行勒索軟件活動的方法?！?/p>

　　所有這些都指向了CISA等人一直在敦促的：盡快進行漏洞修補。Zoho軟件的用戶應(yīng)立即應(yīng)用補丁，以避免CISA公告中描述的危害。