首页保安FBI 和 CISA:黑客利用了一个严重的 Zoho 漏洞

FBI 和 CISA:黑客利用了一个严重的 Zoho 漏洞

FBI、CISA 和海岸警卫队 (CGCYBER) 今天警告说,自 2021 年 XNUMX 月上旬以来,国家支持的持续威胁 (APT) 组织一直在利用 Zoho 系统中的一个严重漏洞。

另见: 2021 年 XNUMX 月星期二补丁:微软修复了关键错误

百会

Zoho 的客户名单包括“五分之三的财富 500 强公司”,包括苹果、英特尔、耐克、PayPal、HBO 等等。

在 Zoho ManageEngine ADSelfService Plus 软件中发现了标识为 CVE-2021-40539 的漏洞,它允许攻击者在成功利用后“接管”易受攻击的系统。

另见: Netgear:修复了超过 XNUMX 个智能开关中的严重错误

这些攻击还针对关键基础设施组织

该公告遵循 CISA 上周发布的先前警告,该警告警告 CVE-2021-40539 可能允许威胁操作员执行 恶意代码 远程访问被破坏的系统。

在使用 CVE-2021-40539 漏洞的情况下,观察到攻击者开发了伪装成 x509 证书的 Web shell JavaServer Pages (JSP)。

然后,此 Web Shell 用于通过 Windows Management Instrumentation (WMI) 进行并排导航,以访问域控制器并拒绝 NTDS.dit 和 SECURITY / SYSTEM 注册表配置单元。

到目前为止,这些攻击背后的 APT 团队已经针对从学术界和国防承包商到重要参与者的广泛领域。

另见: Android 上的 Google 应用程序错误会导致通话问题

缓解措施

Zoho 于 6114 月 2021 日发布了 Zoho ManageEngine ADSelfService Plus build 40539,修复了漏洞 CVE-6-XNUMX。

在随后的安全警报中,该公司补充说,它“观察到利用此漏洞的迹象”。

FBI、CISA 和 CGCYBER 敦促各机构立即实施 ADSelfService Plus build 6114 更新,并确保 ADSelfService Plus 不能直接从 因特网.

建议检测到与 ManageEngineADSelfService Plus 相关的恶意软件的组织立即向 CISA 或 FBI 报告。

信息来源:bleepingcomputer.com

实时新闻