Dans un nouvel avis de sécurité conjoint, le FBI, la CISA et le Coast Guard Cyber Command (CGCYBER) avertissent les entreprises que des groupes de menaces persistantes avancées (APT) parrainés par l’État exploitent activement une faille critique dans le logiciel de Zoho.
La vulnérabilité elle-même, identifiée comme CVE-2021-40539, a été découverte dans le logiciel ManageEngine ADSelfService Plus de Zoho qui fournit à la fois des capacités d’authentification unique et de gestion des mots de passe. Si cette faille est exploitée avec succès, elle peut permettre à un attaquant de s’emparer de systèmes vulnérables sur le réseau d’une entreprise.
Ce nouvel avis de sécurité conjoint fait suite à un avertissement similaire récemment émis par CISA alertant les organisations que la faille de sécurité, qui peut être exploitée pour réaliser l’exécution de code à distance, dans le logiciel de Zoho est activement exploitée dans la nature.
CISA a fourni de plus amples détails sur la façon dont les acteurs de la menace exploitent cette vulnérabilité dans son avis de sécurité conjoint avec le FBI et le CGCYBER, en déclarant :
« L’exploitation de ManageEngine ADSelfService Plus présente un risque sérieux pour les entreprises d’infrastructures critiques, les sous-traitants de la défense agréés par les États-Unis, les établissements universitaires et les autres entités qui utilisent le logiciel. L’exploitation réussie de la vulnérabilité permet à un attaquant de placer des webshells, qui permettent à l’adversaire de mener des activités post-exploitation, telles que la compromission des informations d’identification de l’administrateur, la conduite de mouvements latéraux et l’exfiltration de ruches de registre et de fichiers Active Directory.
Sommaire
Mouvement latéral
Lorsque la vulnérabilité de contournement d’authentification dans ManageEngine ADSelfService a été exploitée à l’état sauvage, les attaquants l’ont exploitée pour déployer des shells Web JavaServer Pages (JSP) déguisés en certificat X509.
En déployant ce shell Web, les attaquants peuvent se déplacer latéralement sur le réseau d’une organisation à l’aide de Windows Management Instrumentation (WMI) pour accéder aux contrôleurs de domaine et vider les ruches de registre NTDS.dit et SECURITY/SYSTEM selon un nouveau rapport de BipOrdinateur.
Il convient de noter que les groupes APT exploitant activement cette vulnérabilité dans la nature ont lancé des attaques ciblant des organisations dans divers secteurs, notamment les universités, la défense, les transports, l’informatique, la fabrication, les communications, la logistique et la finance.
Les organisations qui utilisent Zoho ManageEngine ADSelfService doivent mettre à jour leur logiciel vers la dernière version publiée au début du mois et contenant un correctif pour CVE-2021-40539. Le FBI, la CISA et le CGCYBER recommandent également aux organisations de s’assurer qu’ADSelfService Plus n’est pas directement accessible depuis Internet pour éviter d’être victime d’attaques potentielles tirant parti de cette vulnérabilité.
Via BleepingOrdinateur
