美國聯邦調查局(FBI)、美國國土安全部旗下的網路安全暨基礎架構安全署(CISA),與美國海岸防衛網戰司令部(CGCYBER)在16日共同提出警告,指出有國家級駭客正在開採Zoho的自助式密碼管理暨單一簽入解決方案ManageEngine ADSelfService Plus的重大安全漏洞CVE-2021-40539。

CVE-2021-40539為一身分認證繞過漏洞,影響表現層狀態轉換(REST)應用程式介面(API)的URLs,成功的開採將允許駭客執行遠端攻擊,例如先行置入Web Shell,再伺機獲取管理員的憑證,進行橫向移動,並汲取登錄檔HIVE檔案與Active Directory檔案等。

Zoho已於今年的9月6日修補了CVE-2021-40539漏洞,而FBI、CISA與CGCYBER則發現駭客正在積極開採該漏洞,且相信由國家支撐的先進持續威脅(Advanced Persistent Threat,APT)組織可能是開採該漏洞的團隊之一,將對重要的基礎設施公司、美國國防承包商、學術機構,或是其它使用ManageEngine ADSelfService Plus的組織帶來重大風險。

FBI等組織披露了駭客的攻擊手法,從頻繁地寫入Web Shell、盜取使用者憑證、新增/刪除使用者帳號、利用微軟的WMI進行遠端執行、從主機上移除蹤蹤,到以Windows工具來汲取檔案等。

美國呼籲ManageEngine ADSelfService Plus用戶應該儘快升級到最新的6114版,並強烈建議不要讓ManageEngine ADSelfService Plus可直接自網路存取。


熱門新聞

Advertisement