Gelişmiş bir kalıcı tehdit (APT) grubu bir kusurdan yararlanma Zoho ManageEngine ADSelfService Plus yazılımı, başka bir Zoho ürününde farklı bir güvenlik açığından yararlanmaya dönerek açılmıştır.
Aktörün Zoho ServiceDesk Plus sürümlerinde 11305 ve daha eski sürümlerinde doğrulanmamış bir uzaktan kod yürütme sorunundan yararlandığı görülmüştür. ÖZGEÇMIŞ-2021-44077.
Zoho, RCE kusuruna 16 Eylül 2021’de değindi ve 22 Kasım 2021’de şirket güvenlik danışma belgesi müşterileri etkin yararlanma konusunda uyarmak için. Ancak kullanıcılar güncellemede yavaş kaldı ve saldırılara karşı savunmasız kaldı.
Palo Alto Networks’ün Unit42’sinden gelen bir rapora göre, CVE-2021-44077 için kamuya açık bir kavram kanıtı istismarı yoktur, bu da ondan yararlanan APT grubunun istismar kodunu kendisinin geliştirdiğini ve şimdilik sadece kullandığını göstermektedir.
‘Godzilla’ web kabuğunun düşmesi için RCE’den yararlanma
Aktörler, REST API’sine biri yürütülebilir dosya (msiexec.exe) yüklemek ve diğeri yükü başlatmak için iki istek göndererek kusurdan yararlanır.
Bu işlem uzaktan yapılır ve güvenlik açığı bulunan ServiceDesk sunucusunda kimlik doğrulaması gerektirmez.
ServiceDesk yükü çalıştırdığında, bir mutex oluşturulur ve “.. /lib/tomcat/tomcat-postgres.jar,” ‘java.exe’ öldürdükten ve işlemi yeniden başlattıktan sonra ServiceDesk’e yüklenen ‘Godzilla’ web kabuğunun bir varyantı.
Araştırmacılara göre, aktör ADSelfService Plus kampanyasında görülen aynı webshell gizli anahtarını kullandı, ancak bu sefer bir Apache Tomcat Java Servlet Filtresi olarak yükleniyor.
“Bu Godzilla web kabuğunun bir filtre olarak yüklenmiş olması, aktörün web kabuğuyla etkileşimde bulunurken isteklerini göndereceği belirli bir URL olmadığı anlamına gelir ve Godzilla webshell filtresi, webshell dosyalarına erişimi durdurmak için ServiceDesk Plus’ta bulunan bir güvenlik filtresini de atlayabilir” – okur Unit42’nin analizi
Araştırmacılar, “Tehdit aktörünün filtreyi oluşturmak için tomcat-backdoor adı verilen halka açık koddan yararlandığı ve daha sonra buna değiştirilmiş bir Godzilla web kabuğu eklediğı görülüyor.” diyor.
Palo Alto Networks, bu saldırıları Çinli APT27 grubuna (Emissary Panda) bağlayabilecek kanıtlar gördü. daha önce konuşlandırılmış Godzilla yüksek profilli hedeflere karşı, ancak ipuçları net ilişkilendirme için yetersizdir.
Kuruluşların Zoho yazılımlarını mümkün olan en kısa sürede düzeltme eki uygulamaları ve Ekim 2021’in başından bu yana ServiceDesk Plus dizinlerinde oluşturulan tüm dosyaları gözden geçirmeleri şiddetle tavsiye edilir.
Şu anda, ağ taramaları ABD’de 600’den fazla savunmasız sistemi ve Hindistan, Rusya, İngiltere, Türkiye ve diğerlerinde 2.100’ü daha ortaya koyuyor.
Bu savunmasız dağıtımların çoğu devlet sistemlerinde, üniversitelerde, sağlık kuruluşlarında ve diğer kritik kuruluşlarda bulunur.