提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

CISA敦促Zoho的ManageEngine ADSelfService Plus用户更新他们的工具，注意到APT参与者正在积极利用最近发现的漏洞。

Zoho ManageEngine ADSelfService Plus build 6114，Zoho于2021年9月6日发布，修复该漏洞。

ManageEngine ADSelfService Plus是一种广泛使用的自助式密码管理和单点登录解决方案。严重的身份验证绕过漏洞会影响可实现远程代码执行的代表性状态传输（REST）应用程序编程接口（API）URL。

在本周发出的联合咨询中，CISA、FBI和美国海岸警卫队网络司令部表示，APT参与者已经将目标锁定“多个行业领域的学术机构、国防承包商和关键基础设施实体，包括运输、IT、制造、通信、物流和金融。”

根据CISA，利用该漏洞的网络犯罪分子和国家能够上传包含JavaServer页面的.zip文件（JSP）伪装成x509证书的webshell:service.cer。根据建议，从那里，会向不同的API端点发出更多请求，以进一步利用受害者的系统。

”初始攻击后，可以在/help/admin guide/Reports/ReportGenerate.JSP访问JSP webshell。然后，攻击者尝试使用Windows Management Instrumentation（WMI）横向移动，获得对域控制器的访问权，转储NTDS.dit和安全/系统注册表配置单元，然后从那里继续受损的访问。确认ManageEngine ADSelfService Plus的成功受损可能很困难——攻击者运行清除脚本，以删除受损初始点的痕迹并隐藏任何相关信息“漏洞利用和webshell之间的关系，”CISA解释道非法获取的访问权限和信息可能会中断公司运营并破坏美国在多个领域的研究。成功利用该漏洞可使攻击者放置网络壳，从而使对手能够进行攻击后活动，如泄露管理员凭据、进行横向移动、进行d过滤注册表配置单元和Active Directory文件。”

CISA补充说，各组织需要确保不能直接从internet访问ADSelfService，并建议“域范围密码重置和双Kerberos票证授予票证（TGT）如果发现任何迹象表明NTDS.dit文件被破坏，密码将重置。"

自8月份以来，威胁参与者一直在利用该漏洞，CISA表示，他们已经看到了利用该漏洞的各种策略，包括频繁将WebShell写入磁盘以进行初始持久化、混淆文件或信息、执行进一步的操作以转储用户凭据等e使用它添加或删除用户帐户，窃取Active Directory数据库的副本，删除文件以从主机上删除指示器，并使用Windows实用程序收集和归档文件进行过滤。

情况非常严重，FBI称情况严重“在其56个外地办事处和CyWatch（联邦调查局24/7运营中心和值班室）中，利用经过专门培训的网络小组，提供全天候支持，以跟踪事件，并与全国各地的外地办事处和合作机构进行沟通。"

CISA还向受影响的组织提供帮助，美国海岸警卫队网络司令部表示，它正在为海上运输系统关键基础设施提供特定的网络覆盖。

Vectra的首席技术官奥利弗·塔瓦科利告诉ZDNet，发现系统中的关键漏洞旨在帮助员工管理和重置他们的pTavakoli指出，即使ADSelfService Plus服务器无法从互联网上访问，也可以从任何受损的笔记本电脑上访问。他补充说，从攻击中恢复将非常昂贵，因为“域范围密码重置和双重Kerberos票证授予票证（TGT）”密码重置“本身就是破坏性的。他指出，APT小组可能在这段时间内建立了其他持久性方法。

BreakeQuest首席技术官杰克·威廉姆斯（Jake Williams）说，重要的是，组织要注意频繁使用web shell作为攻击后的有效负载。

威廉姆斯说：“在这种情况下，观察到威胁参与者使用伪装成证书的网络外壳。这种活动应该在网络服务器日志中突出——但前提是组织有检测计划。”考虑到这肯定不是导致web shell部署的最后一个漏洞，建议组织在其web服务器日志中设置正常行为的基线，以便能够快速发现何时部署了web shell。"

其他专家，如Digital Shadows高级网络威胁英特尔分析师肖恩·尼克尔（Sean Nikkel）解释说，这是今年ManageEngine第五次出现类似的严重漏洞。

尼克尔告诉我们，这些漏洞非常严重，因为它们允许远程代码执行或绕过安全控制ZDNet.

"由于该服务与Active Directory交互，允许攻击者访问只能导致不好的结果，例如控制域控制器或其他服务。然后，攻击者可以利用日常系统活动中的“混入噪音”。可以合理地假设，将有更广泛的利用此和previo的行为“鉴于与Microsoft系统进程的互动性，美国存在漏洞，”他说。“APT集团正在积极利用CVE-2021-40539的观察结果应突出其可能造成的潜在风险。如果趋势一致，勒索集团可能会寻求爆炸性的打击。”在不远的将来对勒索软件活动的威胁。Zoho软件的用户应立即应用补丁，以避免CISA公告中所述的危害类型。”

该漏洞是系统管理软件工具发现的更大问题趋势的一部分。Vulcan Cyber首席执行官Yaniv Bar Dayan将其与开放式管理基础设施SolarWinds的最新问题进行了比较（OMI）、Salt等。

考虑到这些工具的访问和控制能力，it安全团队立即采取措施进行全面补救至关重要。Zoho有一个补丁，但它只是一个多层次、高级持久性威胁的脆弱组件的补丁，”Yaniv Bar Dayan补充道。

应用修补程序，但也要确保尽可能避免从Internet直接访问ManageEngine软件。如果APT组可以访问系统管理工具，他们就可以获得王国的钥匙。快速行动。"

广受欢迎的老虎机连锁店Dotty's揭露数据泄露，暴露SSN、金融账号、生物特征数据、医疗记录等

Bitdefender为7月13日前袭击的REvil/Sodinokibi受害者发布通用解密器

Udemy为具有新功能的企业扩展了企业学习平台

阿鲁巴与ML合作伙伴辛辛那提数字化体育场的特许经营权

2023-03-22 10:04:44