Το FBI, η CISA και η Κυβερνητική Διοίκηση του Λιμενικού Σώματος (CGCYBER) προειδοποίησαν σήμερα ότι οι υποστηριζόμενες από το κράτος ομάδες persistent threat (APT) εκμεταλλεύονται από τις αρχές Αυγούστου 2021 ένα κρίσιμο bug σε ένα σύστημα της εταιρείας Zoho.
Δείτε επίσης:
Patch Tuesday Σεπτεμβρίου 2021: Η Microsoft διορθώνει κρίσιμα bugs
Η λίστα πελατών της Zoho περιλαμβάνει “τρεις στις πέντε
εταιρείες
Fortune 500”, συμπεριλαμβανομένων των Apple, Intel, Nike, PayPal, HBO και πολλές άλλες.
Η
ευπάθεια
που εντοπίστηκε ως CVE-2021-40539 βρέθηκε στο software Zoho ManageEngine
ADSelfService Plus
και επιτρέπει στους επιτιθέμενους να «αναλάβουν» ευάλωτα
συστήματα
μετά από ένα επιτυχές exploitation.
Δείτε επίσης:
Netgear: Διορθώνει σοβαρά bugs σε πάνω από δώδεκα smart switches
Οι
επιθέσεις
στοχεύουν και οργανισμούς κρίσιμων υποδομών
Αυτή το advisory ακολουθεί μια προηγούμενη
προειδοποίηση
που είχε εκδώσει η CISA την προηγούμενη εβδομάδα, η οποία προειδοποιούσε για το CVE-2021-40539 το οποίο θα μπορούσε να επιτρέψει στους απειλητικούς φορείς να εκτελέσουν κακόβουλο κώδικα εξ αποστάσεως σε παραβιασμένα
συστήματα
.
Σε
περιστατικά
όπου έχουν χρησιμοποιηθεί exploits CVE-2021-40539, παρατηρήθηκαν επιτιθέμενοι να αναπτύσσουν ένα web shell JavaServer Pages (JSP) που καμουφλάρεται ως πιστοποιητικό x509.
Αυτό το web shell χρησιμοποιείται στη συνέχεια για πλευρική μετακίνηση μέσω του Windows Management Instrumentation (WMI) για πρόσβαση σε domain controllers και
απόρριψη
registry hives NTDS.dit και SECURITY/SYSTEM.
Μέχρι στιγμής, οι ομάδες APT πίσω από αυτές τις
επιθέσεις
έχουν στοχεύσει μια εκτεταμένη σειρά τομέων από ακαδημαϊκά ιδρύματα και εργολάβους άμυνας έως φορείς ζωτικής σημασίας.
Δείτε επίσης:
Bug του Google app σε Android δημιουργεί θέμα στις κλήσεις
Μέτρα mitigation
Η Zoho κυκλοφόρησε το Zoho ManageEngine
ADSelfService Plus
build 6114, το οποίο επιδιόρθωσε την
ευπάθεια
CVE-2021-40539 στις 6 Σεπτεμβρίου.
Σε μια επακόλουθη
ειδοποίηση
ασφαλείας
, η
εταιρεία
πρόσθεσε ότι “παρατηρεί ενδείξεις για την
εκμετάλλευση
αυτής της ευπάθειας”.
Το FBI, η CISA και η CGCYBER παροτρύνουν τους οργανισμούς να εφαρμόσουν αμέσως την ενημερωμένη έκδοση του
ADSelfService Plus
build 6114 και να διασφαλίσουν ότι το
ADSelfService Plus
δεν είναι άμεσα προσβάσιμο από το
διαδίκτυο
.
Οι
οργανισμοί
που εντοπίζουν κακόβουλη δραστηριότητα που σχετίζεται με το ManageEngineADSelfService Plus συνιστάται να το αναφέρουν αμέσως ως περιστατικό στη CISA ή στο FBI.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.