İş yazılımı sağlayıcısı Zoho, bugün müşterileri Desktop Central ve Desktop Central MSP yüklemelerini mevcut en son sürüme güncellemeye çağırdı.
Zoho ManageEngine Desktop Central, yöneticilerin düzeltme eklerini ve yazılımları ağ üzerinden otomatik olarak dağıtmasına ve uzaktan sorun gidermesine yardımcı olan bir yönetim platformudur
Uyarı, şirketin kritik bir güvenlik açığını düzeltmesinin ardından gelir (aşağıdaki gibi izlenir ÖZGEÇMIŞ-2021-44515) saldırganların düzeltme eki yüklenmemiş ManageEngine Desktop Central sunucularında kimlik doğrulamasını atlamasına ve rasgele kod yürütmesine izin verebilir (Desktop Central Cloud etkilenmez).
Zoho, “Bu güvenlik açığından yararlandığına dair göstergeleri fark ettiğimizden, müşterilere yüklemelerini en kısa sürede en son yapıya güncellemelerini şiddetle tavsiye ediyoruz.” Açıkladı bugün yayınlanan bir bildirimde.
Bu güvenlik açığını kullanarak yüklemenizin tehlikeye girip girmediğinizi tespit etmek için Zoho’nun Exploit Algılama Aracı’nı kullanabilir ve ayrıntılı yordamdan geçebilirsiniz burada.
Şirket etkilenirse, etkilenen sistemlerdeki tüm kritik iş verilerinin ağ bağlantısının kesilmesini ve yedeklenmesini, güvenliği ihlal edilen sunucuların biçimlendirilmesini önerir, Geri yükleme Desktop Central ve yükleme sona erdiğinde en son yapıya güncelleştirme.
Uzlaşma belirtileri bulunursa, Zoho ayrıca Active Directory yönetici parolalarıyla birlikte “hizmet yüklü makineden erişilen tüm hizmetler, hesaplar, Active Directory vb. için parola sıfırlama” başlatmanızı önerir.
Shodan kullanarak yapılan hızlı arama ortaya çıktı 3.200’den fazla ManageEngine Desktop Central örneği çeşitli bağlantı noktalarında çalışır ve saldırılara maruz kalır.
Devam eden Zoho ManageEngine hedeflemesi
Bu, Zoho ManageEngine sunucularının son zamanlarda saldırılarda ilk kez hedef alınmaması. Özellikle Desktop Central bulut sunucuları daha önce saldırıya uğramış ve bilgisayar korsanlığı forumlarında satılan güvenliği ihlal edilmiş ağlara erişim en az Temmuz 2020’den beri.
Bu tekliflerin arkasındaki tehdit aktörlerini tespit eden siber istihbarat şirketi KELA’ya göre, dünya çapındaki şirketlere ağ erişimi sattılar ve ABD, İngiltere, İspanya ve Brezilya’dan başkalarına erişediklerini iddia ettiler.
Daha yakın zamanda, Ağustos ve Ekim 2021 arasında Zoho ManageEngine ürünleri, Çin destekli hack grubu APT27 tarafından kullanılanlara benzer taktikler ve araçlar kullanarak devlet bilgisayar korsanları tarafından hedef alınmıştır.
Saldırganlar, üç farklı kampanyada dünya çapındaki kritik altyapı kuruluşlarının ağlarına odaklandı ve bunları ele geçirildi. ADSelfService sıfır gün exploiAğustos başı ile Eylül ortası arasında, n günlük AdSelfService yararlanması Ekim ayı sonlarına kadar ve 25 Ekim’den itibaren bir ServiceDesk.
Bu kampanyalardan sonra, FBI ve CISA da ortak danışmanlık (1, 2) Sağlık, finansal hizmetler, elektronik ve BT danışmanlık endüstrileri de dahil olmak üzere hedeflenen kritik altyapı kuruluşlarının ağlarına web kabukları bırakmak için ManageEngine güvenlik açıklarından yararlanan APT aktörlerinin uyarısı.
Buna ek olarak, iki ABD federal kurumu, bu saldırılarda başarılı bir uzlaşmayı onaylamanın zor olabileceğini, çünkü “saldırganların ilk uzlaşma noktasının izlerini ortadan kaldırmak ve güvenlik açığından yararlanma ile web kabuğu arasındaki herhangi bir ilişkiyi gizlemek için tasarlanmış temizleme komut dosyaları çalıştırdığı bilinmektedir” dedi.
Zoho sözcüsü, bugün erken saatlerde BleepingComputer ile cve-2021-44515 Desktop Central kimlik doğrulama atlama güvenlik açığı hakkında iletişime geçildiğinde yorum için hemen mevcut değildi.