Federal Soruşturma Bürosu (FBI), Zoho’nun ManageEngine Desktop Central’ındaki sıfır gün güvenlik açığının, en az Ekim ayından bu yana devlet destekli bilgisayar korsanlığı grupları (APT’ler veya gelişmiş kalıcı tehditler olarak da bilinir) tarafından aktif olarak sömürüldüğünü söylüyor.
FBI’ın Siber Bölümü, “En azından Ekim 2021’in sonundan bu yana, APT aktörleri, şimdi CVE-2021-44515 olarak tanımlanan, ManageEngine Desktop Central sunucularında bir sıfır günden aktif olarak yararlanıyor” dedi. [PDF].
“APT aktörlerinin Desktop Central sunucularını tehlikeye attığı, Desktop Central’ın meşru bir işlevini geçersiz kılan bir web kabuğu bıraktığı, sömürü sonrası araçları indirdiği, etki alanı kullanıcılarını ve gruplarını sıraladığı, ağ keşifleri yürüttüğü, yatay hareket etmeye çalıştığı ve kimlik bilgilerini boşalttığı gözlemlendi.”
Güvenlik açığı, Aralık başında Zoho tarafından yamalı, saldırganların savunmasız Desktop Central sunucularında rastgele kod yürütmek için yararlanabileceği kritik bir kimlik doğrulama atlama güvenlik açığıdır.
CISA Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna CVE-2021-44515’i ekledi 10 Aralık’ta, federal kurumların Noel’den önce yama yapmasını gerektiren Bağlayıcı Operasyonel Direktif (BOD) 22-01.
Müşteriler sunucularına yama yapmaları konusunda uyarıldı
Güvenlik açığını kapattıktan sonra şirket, müşterileri gelen saldırıları engellemek için güvenlik güncellemelerini hemen dağıtmaya çağıran devam eden istismar girişimleri konusunda da uyardı.
Zoho, “Bu güvenlik açığından yararlanıldığının göstergelerini fark ettiğimizden, müşterilerimize kurulumlarını mümkün olan en kısa sürede en son sürüme güncellemelerini şiddetle tavsiye ediyoruz.” Dedi.
Bu güvenlik açığı kullanılarak sunucunuzun ihlal edilip edilmediğini tespit etmek için Zoho’nun Exploit Detection Tool’u kullanabilir ve ayrıntılı olarak verilen adımları uygulayabilirsiniz. burada.
Şirket, kritik iş verilerini yedeklemeyi, etkilenen ağ sistemlerinin bağlantısını kesmeyi, güvenliği ihlal edilmiş tüm sunucuları biçimlendirmeyi, geri yükleme Desktop Central ve en son sürüme güncelleme.
Zoho, güvenlik açığı belirtileri bulunursa, Active Directory yönetici parolalarıyla birlikte “hizmet yüklü makineden erişilen tüm hizmetler, hesaplar, Active Directory vb. için” bir parola sıfırlama başlatmayı önerir.
Shodan’a göre, 2.900’den fazla ManageEngine Desktop Central örneği gelen saldırılara maruz kalır.
ManageEngine sunucuları kuşatma altında
Son yıllarda, Zoho ManageEngine sunucuları, Desktop Central örneklerinin saldırıya uğraması ve erişime açılması gibi sürekli olarak hedef alındı. bilgisayar korsanlığı forumlarında satılan ağlarına Temmuz 2020’den beri.
Ağustos ve Ekim 2021 arasında, Zoho ManageEngine kurulumları, Çin bağlantılı APT27 korsanlık grubu tarafından kullanılanlara benzer taktikler ve araçlar kullanan ulus devlet bilgisayar korsanları tarafından da saldırıya uğradı.
Bu saldırılarda tehdit aktörleri, çabalarını üç farklı kampanyada dünya çapındaki kritik altyapı kuruluşlarının ağlarını ihlal etmeye odakladı.
Önce bir kullandılar ADSelfService sıfır gün keşift Ağustos başı ile Eylül ortası arasında, daha sonra bir n günlük AdSelfService istismarı Ekim ayı sonuna kadar taşındı ve 25 Ekim ile başlayan bir ServiceDesk.
Bu kampanyaların ardından FBI ve CISA ortak tavsiyeler yayınladılar (1, 2) sağlık, finansal hizmetler, elektronik ve BT danışmanlık endüstrileri dahil olmak üzere, ihlal edilmiş kritik altyapı kuruluşlarının ağlarına web kabukları bırakmak için bu ManageEngine kusurlarından yararlanan APT aktörlerinin uyarısı.