​​Пошла жара. Критическую багу CVE-2021-40539 в Zoho начали ак | Infosec

​​Пошла жара. Критическую багу CVE-2021-40539 в Zoho начали активно эксплуатировать АРТ, о чем мы предупреждали еще на прошлой неделе.

Ошибка в ПО Zoho ManageEngine ADSelfService Plus позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации. Атаки фиксируются с августа 2021 года.

Но уже на этой неделе ФБР и CISA, и даже Киберкомандование береговой охраны (CGCYBER), выпустили совместное заявление с предупреждением о рисках использования ManageEngine ADSelfService Plus для критически важных инфраструктурных компаний, американских оборонных подрядчиков, академических институтов и прочих организаций в сфере транспорта, информационных технологий, производства, связи, логистики и финансов, которые уже попали под удар хакеров.

В выявленных инцидентах с применением эксплойтов под CVE-2021-40539 злоумышленники развертывали веб-оболочку JavaServer Pages (JSP), замаскированную под сертификат x509, которая в дальнейшем позволяла им проводить постэксплуатационные действия: компрометацию учетных данных администратора, выполнение бокового перемещения через инструментарий управления Windows (WMI), доступ к контроллерам домена, дампам NTDS.dit, значениям реестра SECURITY/SYSTEM, файлам Active Directory.

Опасения американских правоохранителей обоснованы, ведь в список клиентов Zoho входят три из пяти компаний из списка Fortune 500, включая Apple, Intel, Nike, PayPal, HBO и многие другие.

6 сентября 2021 Zoho выпустила исправления Zoho ManageEngine ADSelfService Plus build 6114 и уведомила клиентов об использовании уязвимости в дикой природе.

Полагаем, что к словам ФБР, CISA и CGCYBER следует отнестись более чем серьезно и принять соответствующие меры: накатить обновление ADSelfService Plus build 6114, сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), ограничить доступ к ADSelfService Plus из открытой сети.