首页保安黑客利用新的 Zoho ServiceDesk 漏洞

黑客利用新的 Zoho ServiceDesk 漏洞

一群老练的黑客利用 Zoho ManageEngine ADSelfService Plus 软件中的漏洞,转而利用另一个 Zoho 产品中的不同漏洞。

Zoho 服务台

另见: Zoho 修复了 ADSelfService Plus 中的一个可利用的错误

该团队正在利用版本中未经身份验证的远程代码执行漏洞 Zoho ServiceDesk Plus 11305 和更老的,目前被称为 CVE-2021-44077.

Zoho 于 16 年 2021 月 22 日和 2021 年 XNUMX 月 XNUMX 日处理了 RCE 缺陷,公司发布了一份 安全警报 警告客户有关主动剥削的信息。 但是,用户更新系统的速度很慢,并且仍然容易受到 攻击.

根据 Palo Alto Networks 的 Unit 42 的一份报告,没有公开证据表明 CVE-2021-44077 被利用,表明该团队 APT 利用它的开发者自己开发了利用代码,暂时只使用它。

另见: FBI 和 CISA:黑客利用了一个严重的 Zoho 漏洞

黑客通过向 REST API 发送两个请求来利用漏洞,一个是下载可执行文件 (msiexec.exe),另一个是引导有效负载。

黑客

此过程是远程执行的,不需要在易受攻击的 ServiceDesk 服务器上进行身份验证。

当 ServiceDesk 执行负载时,会创建一个互斥锁并将硬编码的 Java 模块写入“../lib/tomcat/tomcat-postgres.jar, 杀死“java”后加载到 ServiceDesk 中的“Godzilla”Web shell 的变体。 .exe '并重新启动进程。

据研究人员称,该团队使用了与 ADSelfService Plus 活动中出现的相同的 webshel​​l 密钥,但这次它被安装为过滤器 Java Servlet Apache Tomcat.

另见: 中国黑客使用Cisco,Citrix,Zoho漏洞进行攻击!

Palo Alto Networks 已经发现了可能将这些攻击与中国 APT27(熊猫大使)团队联系起来的证据,该团队之前曾针对高调目标开发了哥斯拉,但证据不足以明确表现。

建议组织尽快修复 Zoho 软件,并检查自 2021 年 XNUMX 月开始在 ServiceDesk Plus 目录中创建的所有文件。

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
现货图片

实时新闻