CISA waarschuwt voor APT-actoren die misbruik maken van nieuw geïdentificeerde kwetsbaarheid in ManageEngine ADSelfService Plus

CISA dringt er bij gebruikers van Zoho’s ManageEngine ADSelfService Plus op aan om hun tools bij te werken, waarbij wordt opgemerkt dat APT-actoren actief misbruik maken van een recent ontdekte kwetsbaarheid.

Zoho ManageEngine ADSelfService Plus build 6114, die Zoho op 6 september 2021 uitbracht, verhelpt het beveiligingslek.

ManageEngine ADSelfService Plus is een veelgebruikte selfservice-oplossing voor wachtwoordbeheer en eenmalige aanmelding. De kritieke kwetsbaarheid voor het omzeilen van authenticatie beïnvloedt de API-URL’s (Representational State Transfer) van de Application Programming Interface (API) die uitvoering van externe code mogelijk kunnen maken.

In een gezamenlijk advies dat deze week werd verzonden, zeiden CISA, de FBI en het US Coast Guard Cyber ​​Command dat APT-actoren zich al hebben gericht op “academische instellingen, defensieaannemers en kritieke infrastructuurentiteiten in meerdere industriële sectoren – waaronder transport, IT, productie, communicatie , logistiek en financiën.”

Volgens CISA kunnen cybercriminelen en natiestaten die misbruik maken van de kwetsbaarheid een .zip-bestand uploaden met een JavaServer Pages (JSP) webshell die zich voordoet als een x509-certificaat: service.cer. Van daaruit worden volgens het advies meer verzoeken gedaan aan verschillende API-eindpunten om het systeem van het slachtoffer verder te exploiteren.

“Na de eerste exploitatie is de JSP-webshell toegankelijk via /help/admin-guide/Reports/ReportGenerate.jsp. De aanvaller probeert vervolgens zijwaarts te bewegen met behulp van Windows Management Instrumentation (WMI), toegang te krijgen tot een domeincontroller en NTDS te dumpen. dit en SECURITY/SYSTEM register-hives, en gaat van daaruit verder met de gecompromitteerde toegang. Het bevestigen van een succesvolle compromittering van ManageEngine ADSelfService Plus kan moeilijk zijn – de aanvallers voeren opruimscripts uit die zijn ontworpen om sporen van het eerste punt van compromittering te verwijderen en verbergt elke relatie tussen misbruik van de kwetsbaarheid en de webshell”, legt CISA uit.

“Onwettig verkregen toegang en informatie kan bedrijfsactiviteiten verstoren en Amerikaans onderzoek in meerdere sectoren ondermijnen. Succesvolle exploitatie van de kwetsbaarheid stelt een aanvaller in staat webshells te plaatsen, die de tegenstander in staat stellen post-exploitatie-activiteiten uit te voeren, zoals het compromitteren van beheerdersreferenties, het uitvoeren van zijwaartse bewegingen , en het exfiltreren van registerkasten en Active Directory-bestanden.”

CISA voegde eraan toe dat organisaties ervoor moeten zorgen dat ADSelfService niet rechtstreeks toegankelijk is vanaf internet en raadde “domeinbrede wachtwoordresets en dubbele Kerberos Ticket Granting Ticket (TGT)-wachtwoordresets aan als er aanwijzingen zijn dat het NTDS.dit-bestand is gecompromitteerd.”

Bedreigingsactoren misbruiken het beveiligingslek sinds augustus en CISA zei dat ze verschillende tactieken hebben gezien die werden gebruikt om van de fout te profiteren, waaronder het vaak schrijven van webshells naar schijf voor aanvankelijke persistentie, het verduisteren van bestanden of informatie, het uitvoeren van verdere bewerkingen om gebruikersreferenties te dumpen en meer.

Anderen hebben het gebruikt om gebruikersaccounts toe te voegen of te verwijderen, kopieën van de Active Directory-database te stelen, bestanden te verwijderen om indicatoren van de host te verwijderen en Windows-hulpprogramma’s te gebruiken om bestanden te verzamelen en te archiveren voor ondervraging.

De situatie is zo ernstig dat de FBI zei dat het gebruikmaakt van speciaal opgeleide cyberteams in elk van zijn 56 veldkantoren en CyWatch, het 24/7 operatiecentrum en de wachtvloer van de FBI, dat 24 uur per dag ondersteuning biedt om incidenten en communiceren met veldkantoren in het hele land en partnerbureaus.”

CISA biedt ook getroffen organisaties hulp en het US Coast Guard Cyber ​​Command zei dat het specifieke cyberdekking biedt voor kritieke infrastructuur voor zeetransportsystemen.

Oliver Tavakoli, CTO bij Vectra, vertelde ZDNet dat het vinden van een kritieke kwetsbaarheid in het systeem bedoeld om werknemers te helpen hun wachtwoorden te beheren en opnieuw in te stellen “precies zo erg is als het klinkt”.

Zelfs als de ADSelfService Plus-server niet toegankelijk was vanaf internet, zou deze toegankelijk zijn vanaf elke gecompromitteerde laptop, merkte Tavakoli op.

Hij voegde eraan toe dat het herstellen van een aanval duur zal zijn, omdat “het opnieuw instellen van wachtwoorden voor het hele domein en dubbele wachtwoorden voor Kerberos Ticket Granting Ticket (TGT)” op zichzelf al storend zijn. De APT-groepen hebben in de tussenliggende tijd mogelijk andere middelen van volharding ontwikkeld, merkte hij op.

BreachQuest CTO Jake Williams zei dat het belangrijk is dat organisaties het frequente gebruik van webshells als payload na exploitatie opmerken.

“In dit geval zijn bedreigingsactoren waargenomen die webshells gebruikten die waren vermomd als certificaten. Dit soort activiteiten zou op moeten vallen in webserverlogboeken – maar alleen als organisaties een plan voor detectie hebben”, zei Williams.

“Aangezien dit zeker niet de laatste kwetsbaarheid zal zijn die resulteert in de implementatie van een webshell, wordt organisaties geadviseerd om normaal gedrag in hun webserverlogboeken te baseren, zodat ze snel kunnen ontdekken wanneer een webshell is geïmplementeerd.”

Andere experts, zoals Sean Nikkel, senior cyberbedreigingsintel-analist van Digital Shadows, legden uit dat dit probleem het vijfde geval is van vergelijkbare, kritieke kwetsbaarheden van ManageEngine dit jaar.

Deze kwetsbaarheden zijn ernstig omdat ze het mogelijk maken om op afstand code uit te voeren of om beveiligingscontroles te omzeilen, vertelde Nikkel aan ZDNet.

“Omdat de service interageert met Active Directory, kan het geven van toegang aan aanvallers alleen maar leiden tot slechte dingen, zoals het besturen van domeincontrollers of andere services. Aanvallers kunnen dan profiteren van ‘opgaan in de ruis’ van dagelijkse systeemactiviteit. Het is redelijk om aan te nemen dat er meer wijdverbreide exploitatie van deze en eerdere kwetsbaarheden zal zijn, gezien de interactiviteit met Microsoft-systeemprocessen”, zei hij.

“De observatie dat APT-groepen actief misbruik maken van CVE-2021-40539, zou de mogelijke blootstelling die het kan veroorzaken, moeten benadrukken. Als de trends consistent zijn, zullen afpersingsgroepen waarschijnlijk in de niet zo verre toekomst exploiteren voor ransomware-activiteiten. Gebruikers van Zoho’s software moet onmiddellijk patches toepassen om de soorten compromissen die worden beschreven in het CISA-bulletin te voorkomen.”

De kwetsbaarheid maakt deel uit van een grotere trend van problemen die worden gevonden met softwaretools voor systeembeheer. Vulcan Cyber ​​CEO Yaniv Bar-Dayan vergeleek het met recente problemen met SolarWinds, Open Management Infrastructure (OMI), Salt en meer.

“Gezien de hoeveelheid toegang en controle die deze tools hebben, is het van cruciaal belang dat IT-beveiligingsteams onmiddellijk stappen ondernemen om dit volledig te verhelpen. Zoho heeft een patch, maar het is slechts een patch voor een kwetsbaar onderdeel van wat een meerlagige, geavanceerde persistente bedreiging”, voegde Yaniv Bar-Dayan eraan toe.

“Pas de patch toe, maar zorg er ook voor dat directe toegang tot ManageEngine-software vanaf internet waar mogelijk wordt geëlimineerd. Als APT-groepen toegang krijgen tot systeembeheertools, krijgen ze de sleutels van het koninkrijk. Snel handelen.”

Posted By :sdy hari ini