FBI警告:国家级黑客正在开采Zoho的自助式密码管理平台漏洞

美国联邦调查局(FBI)、美国国土安全部旗下的网络安全暨基础架构安全局(CISA),与美国海岸防卫网战司令部(CGCYBER)在16日共同提出警告,指出有国家级黑客正在开采Zoho的自助式密码管理暨单一签入解决方案ManageEngine ADSelfService Plus的重大安全漏洞CVE-2021-40539。

CVE-2021-40539为一身份认证绕过漏洞,影响表现层状态转换(REST)应用程序接口(API)的URLs,成功的开采将允许黑客执行远程攻击,例如先行置入Web Shell,再伺机获取管理员的凭证,进行横向移动,并汲取注册表HIVE文件与Active Directory文件等。

Zoho已于今年的9月6日修补了CVE-2021-40539漏洞,而FBI、CISA与CGCYBER则发现黑客正在积极开采该漏洞,且相信由国家支撑的先进持续威胁(Advanced Persistent Threat,APT)组织可能是开采该漏洞的团队之一,将对重要的基础设施公司、美国国防承承包商、学术机构,或是其它使用ManageEngine ADSelfService Plus的组织带来重大风险。

FBI等组织披露了黑客的攻击手法,从频繁地写入Web Shell、盗取用户凭证、添加/删除用户账号、利用微软的WMI进行远程执行、从主机上移除踪踪,到以Windows工具来汲取文件等。

美国呼吁ManageEngine ADSelfService Plus用户应该尽快升级到最新的6114版,并强烈建议不要让ManageEngine ADSelfService Plus可直接自网络访问。

发表评论