WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Cảnh báo khai thác lỗ hổng nghiêm trọng trên ManageEngine ServiceDesk
Cục Điều tra Liên bang Hoa Kỳ (FBI) và Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cảnh báo về việc khai thác một lỗ hổng mới được vá trong sản phẩm ManageEngine ServiceDesk Plus của Zoho để triển khai web shell và thực hiện một loạt các hoạt động độc hại.
"Một cấu hình sai trong ServiceDesk Plus đã dẫn đến lỗ hổng", Zoho lưu ý trong một khuyến cáo được công bố vào ngày 22 tháng 11. "Lỗ hổng này có thể cho phép hacker thực thi mã tùy ý và thực hiện bất kỳ cuộc tấn công nào tiếp theo." Zoho đã khắc phục lỗi tương tự trong các phiên bản 11306 trở lên vào ngày 16 tháng 9 năm 2021.
Các nhà nghiên cứu Robert Falcone và Peter Renals của Đơn vị 42 cho biết: “Hacker mở rộng đối tượng ngoài ADSelfService Plus sang các phần mềm dễ bị tấn công khác. "Đáng chú ý nhất, từ ngày 25 tháng 10 đến ngày 8 tháng 11, đối tượng bắt đầu chuyển sang một số tổ chức đang điều hành một sản phẩm Zoho khác được gọi là ManageEngine ServiceDesk Plus".
Các cuộc tấn công được cho là được dàn dựng bởi một "tác nhân APT " được Microsoft theo dõi với tên"DEV-0322", một đối tượng được cho là hoạt động bên ngoài Trung Quốc và trước đây từng phát hiện khai thác lỗ hổng zero-day trong dịch vụ truyền tệp của SolarWinds Serv-U vào đầu năm nay. Đơn vị 42 đang giám sát hoạt động kết hợp là chiến dịch "TiltedTemple".
Đơn vị 42 xác định rằng hiện có hơn 4.700 trường hợp sử dụng Internet của ServiceDesk Plus trên toàn cầu, trong đó 2.900 (hoặc 62%) trải dài khắp Hoa Kỳ, Ấn Độ, Nga, Anh và Thổ Nhĩ Kỳ được đánh giá là dễ bị khai thác.
Trong ba tháng qua, ít nhất hai tổ chức đã bị xâm nhập bằng cách sử dụng lỗ hổng ManageEngine ServiceDesk Plus, một con số dự kiến sẽ tăng cao hơn nữa khi nhóm APT tăng cường các hoạt động do thám chống lại công nghệ, năng lượng, giao thông vận tải, chăm sóc sức khỏe, giáo dục, tài chính và các ngành công nghiệp quốc phòng.
Về phần mình, Zoho đã cung cấp một công cụ phát hiện khai thác để giúp khách hàng xác định xem các cài đặt tại chỗ của họ có bị xâm phạm hay không, ngoài việc khuyến nghị người dùng "nâng cấp lên phiên bản ServiceDesk Plus (12001) mới nhất ngay lập tức" để giảm thiểu bất kỳ rủi ro tiềm ẩn phát sinh khi khai thác.
CVE-2021-44077 (điểm CVSS: 9,8), có liên quan đến lỗ hổng thực thi mã từ xa, không được xác thực ảnh hưởng đến các phiên bản ServiceDesk Plus cao gồm cả 11305, nếu không được khắc phục, lỗ hổng này có thể "cho phép kẻ tấn công tải lên các tệp thực thi và đặt web shell cho các hoạt động sau khai thác, chẳng hạn như lấy thông tin đăng nhập của quản trị viên, di chuyển và lấy các tệp đăng ký và tệp Active Directory", CISA cho biết."Một cấu hình sai trong ServiceDesk Plus đã dẫn đến lỗ hổng", Zoho lưu ý trong một khuyến cáo được công bố vào ngày 22 tháng 11. "Lỗ hổng này có thể cho phép hacker thực thi mã tùy ý và thực hiện bất kỳ cuộc tấn công nào tiếp theo." Zoho đã khắc phục lỗi tương tự trong các phiên bản 11306 trở lên vào ngày 16 tháng 9 năm 2021.
Các nhà nghiên cứu Robert Falcone và Peter Renals của Đơn vị 42 cho biết: “Hacker mở rộng đối tượng ngoài ADSelfService Plus sang các phần mềm dễ bị tấn công khác. "Đáng chú ý nhất, từ ngày 25 tháng 10 đến ngày 8 tháng 11, đối tượng bắt đầu chuyển sang một số tổ chức đang điều hành một sản phẩm Zoho khác được gọi là ManageEngine ServiceDesk Plus".
Các cuộc tấn công được cho là được dàn dựng bởi một "tác nhân APT " được Microsoft theo dõi với tên"DEV-0322", một đối tượng được cho là hoạt động bên ngoài Trung Quốc và trước đây từng phát hiện khai thác lỗ hổng zero-day trong dịch vụ truyền tệp của SolarWinds Serv-U vào đầu năm nay. Đơn vị 42 đang giám sát hoạt động kết hợp là chiến dịch "TiltedTemple".
Đơn vị 42 xác định rằng hiện có hơn 4.700 trường hợp sử dụng Internet của ServiceDesk Plus trên toàn cầu, trong đó 2.900 (hoặc 62%) trải dài khắp Hoa Kỳ, Ấn Độ, Nga, Anh và Thổ Nhĩ Kỳ được đánh giá là dễ bị khai thác.
Trong ba tháng qua, ít nhất hai tổ chức đã bị xâm nhập bằng cách sử dụng lỗ hổng ManageEngine ServiceDesk Plus, một con số dự kiến sẽ tăng cao hơn nữa khi nhóm APT tăng cường các hoạt động do thám chống lại công nghệ, năng lượng, giao thông vận tải, chăm sóc sức khỏe, giáo dục, tài chính và các ngành công nghiệp quốc phòng.
Về phần mình, Zoho đã cung cấp một công cụ phát hiện khai thác để giúp khách hàng xác định xem các cài đặt tại chỗ của họ có bị xâm phạm hay không, ngoài việc khuyến nghị người dùng "nâng cấp lên phiên bản ServiceDesk Plus (12001) mới nhất ngay lập tức" để giảm thiểu bất kỳ rủi ro tiềm ẩn phát sinh khi khai thác.
Theo: The Hacker News
Chỉnh sửa lần cuối: