CISA、FBI:民族国家APT组织大概正在利用Zoho漏洞-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > CISA、FBI:民族国家APT组织大概正在利用Zoho漏洞

CISA、FBI:民族国家APT组织大概正在利用Zoho漏洞

小墨安全管家 2021-09-26 08:16 CC防护 89 ℃
DDoS防御

 用于横向挪移和远程代码执行的WMI(wmic.exe)

缓解措施

三个机构指示,在ManageEngine ADSelfService Plus安装身边检测到妥协指标(IoC)的组织“应即将采取行动”。

确认漏洞利用大概特别艰难

成功的攻击是上传一具包含JavaServer Pages(JSP)webshell的.zip文件,该文件伪装成x509证书service.cer,可在/help/admin-guide/Reports/ReportGenerate.jsp上访咨询。接下来是对不同API端点的请求,以进一步利用目标系统。

三人表示:“FBI、CISA和CGCYBER强烈要求用户和治理员更新到ADSelfService Plus build 6114。”他们还强烈敦促组织幸免经过互联网直截了当访咨询ADSelfService Plus。

Nikkel然后举行另一具悲观的预测:“APT组织正在积极利用CVE-2021-40539的现象表明它大概造成的潜在风险。假如趋势一致,勒索组织大概会在不大会儿的未来寻求利用CVE-2021-40539举行勒索软件活动的想法。”

依照FBI、CISA和CGCYBER这三个政府网络安全部门今天的联合问,这些漏洞“对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用该软件的实体构成了严峻威胁”。

CISA、FBI:民族国家APT组织似乎正在利用Zoho漏洞

上周二,Zoho针对该漏洞公布了一具补丁-Zoho ManageEngine ADSelfService Plus build 6114,该漏洞被追踪为CVE-2021-40539,严峻性等级为9.8。正如网络安全和基础设施安全局(CISA)当时警告的那么,DDoS防御,它正在作为0day漏洞在野外被积极利用。

造成的破坏

事件响应公司BreachQuest的联合创始人兼首席技术官杰克威廉姆斯表示,组织应该注意到,即威胁行为者向来在使用webshell作为漏洞利用后的有效payload。在利用那个Zoho漏洞的事情下,他们使用伪装成证书的webshell:安全团队应该可以在web服务器日志中猎取的东西,但“惟独在组织有检测打算的事情下”。

 转储NTDS.dit和SECURITY/SYSTEM/NTUSER注册表配置单元

这是任何企业都关怀的咨询题,但关于Zoho,我们谈论的是一具被关键基础设施公司、美国批准的国防承包商和学术机构等使用的安全解决方案。

Zoho ManageEngine ADSelfService Plus是一具针对AD和云应用程序的自助式密码治理和单点登录(SSO)平台,这意味着任何可以操纵该平台的网络攻击者都会在两个关键任务应用程序(和他们的敏感数据)中拥有多个轴心点。换句话讲,DDoS防御,它是一具功能强大的、高度特权的应用程序,不管是对用户依旧攻击者都能够作为一具进入企业内部各个领域的便捷入口点。

所有这些都指向了CISA等人向来在敦促的:尽快举行漏洞修补。Zoho软件的用户应即将应用补丁,以幸免CISA公告中描述的危害。

该问指出:“非法获得的访咨询和信息大概会扰乱公司运营并颠覆美国在多个领域的研究。”“成功利用该漏洞可使攻击者放置webshell,从而使对手可以举行后利用活动,例如破坏治理员凭据、举行横向挪移以及泄露注册表配置单元和Active Directory文件。”

联合问称,APT组织实际上基本瞄准了多个行业的此类实体,包括运输、IT、创造、通信、物流和金融。

该问建议提供了威胁行为者漏洞利用时所使用的策略、技术和流程(TTP)的清单:

咨询题是Zoho ManageEngine ADSelfService Plus平台中的一具严峻的身份验证绕过漏洞,该漏洞可导致远程代码执行(RCE),从而为肆无忌惮的攻击者打开公司大门,攻击者能够自由操纵用户的Active Directory(AD)和云帐户。


DDoS防御

当前位置:主页 > CC防护 > CISA、FBI:民族国家APT组织大概正在利用Zoho漏洞

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119