ФБР: государственные хакеры эксплуатируют новый нулевой день Zoho с октября

0
Иранские хакеры разоблачены в ходе целенаправленной кампании шпионажа

Федеральное бюро расследований (ФБР) заявляет, что уязвимость нулевого дня в Zoho ManageEngine Desktop Central активно эксплуатируется поддерживаемыми государством хакерскими группами (также известными как APT или сложные постоянные угрозы) как минимум с октября.

«По крайней мере, с конца октября 2021 года акторы APT активно использовали уязвимость нулевого дня, теперь обозначенную как CVE-2021-44515, на серверах ManageEngine Desktop Central», — говорится в сообщении киберотдела ФБР.

«Было замечено, что участники APT компрометируют серверы Desktop Central, отбрасывают веб-оболочку, которая отменяет законную функцию Desktop Central, загружает инструменты после эксплуатации, перечисляет пользователей и группы домена, проводит сетевую разведку, предпринимает попытки бокового перемещения и сбрасывает учетные данные».

Недостаток безопасности, исправленный Zoho в начале декабря , представляет собой критическую уязвимость для обхода аутентификации, которую злоумышленники могут использовать для выполнения произвольного кода на уязвимых серверах Desktop Central.

CISA добавила CVE-2021-44515 в свой каталог известных эксплуатируемых уязвимостей 10 декабря, требуя от федеральных агентств внести исправления до Рождества в соответствии с обязательной операционной директивой (BOD) 22-01.

Клиенты предупредили о необходимости исправления своих серверов

После исправления уязвимости компания также предупредила клиентов о продолжающихся попытках эксплуатации, призвав их немедленно развернуть обновления безопасности, чтобы заблокировать входящие атаки.

«Поскольку мы замечаем признаки эксплуатации этой уязвимости, мы настоятельно рекомендуем клиентам как можно скорее обновить свои установки до последней сборки», — сказал Зохо.

Компания рекомендует выполнять резервное копирование критически важных бизнес-данных, отключать затронутые сетевые системы, форматировать все взломанные серверы, восстанавливать Desktop Central и обновляться до последней сборки.

При обнаружении признаков взлома Zoho рекомендует инициировать сброс пароля «для всех служб, учетных записей, Active Directory и т. Д., К которым был осуществлен доступ с компьютера с установленной службой», вместе с паролями администратора Active Directory.

По данным Shodan, более 2900 экземпляров ManageEngine Desktop Central подвержены входящим атакам.

Серверы ManageEngine в осаде

В последние годы серверы Zoho ManageEngine находились под постоянным таргетингом: например, экземпляры Desktop Central были взломаны, а доступ к их сетям был продан на хакерских форумах с июля 2020 года.

В период с августа по октябрь 2021 года установки Zoho ManageEngine также подвергались атакам со стороны хакеров из национальных государств с использованием тактики и инструментов, аналогичных тем, которые используются хакерской группой APT27, связанной с Китаем.

В этих атаках злоумышленники сосредоточили свои усилия на проникновении в сети организаций критической инфраструктуры по всему миру в трех различных кампаниях.

Сначала они использовали эксплойт нулевого дня ADSelfService с начала августа до середины сентября, затем перешли на эксплойт AdSelfService n-день до конца октября, а с 25 октября перешли на эксплойт ServiceDesk.

После этих кампаний ФБР и CISA выпустили совместные рекомендации, предупреждающие о том, что субъекты APT используют эти недостатки ManageEngine для установки веб-шеллов в сети взломанных критически важных инфраструктурных организаций, включая здравоохранение, финансовые услуги, электронику и ИТ-консалтинг.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии