聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 督促组织机构应用 Zoho ManageEngine 服务器的最新安全更新,修复已遭在野利用一周多的0day (CVE-2021-40539)。
该漏洞影响印度公司 Zoho 的密码管理和单点登录 (SSO) 解决方案 Zoho ManageEngine ADSelfService Plus。
Zoho 公司发布安全公告称,该0day是认证绕过漏洞,可经由 ADselfService Plus REST API URL 利用,可导致攻击者在底层 Zoho 服务器上执行恶意代码。CISA 表示,“远程攻击者可利用该漏洞控制受影响系统。”
在 Confluence 攻击前遭利用的 0day
安全公司 CrowdStrike 的首席情报分析师 Matt Dahl 表示,该 Zoho 0day 已遭在野攻击长达一周多的时间,甚至在 Confluence 服务器遭攻击之前就已开始。Dahl 指出这些攻击是定向攻击,很可能是由同一个威胁行动者执行的。他指出,“攻击者似乎具有清晰的目标,能够快速实施攻击并退出。“
目前尚未出现关于该漏洞的利用代码或技术报告讨论,说明威胁行动者是自行发现漏洞而非武器化公开代码。
如何检测利用
企业和系统管理员可按照下述步骤调查自己的系统是否已遭攻陷:
在文件夹 “\ManageEngine\ADSelfService Plus\logs” 中搜索如下所列字符串的访问日志条目:
1、/RestAPI/LogonCustomization
2、/RestAPI/Connection
如在日志中发现上述任意一个条目,则说明安装已受影响。
截至本文写作之时,可从互联网访问超过1.1万台Zoho ManageEngine服务器。
这是今年第二个已遭在野利用的重大 Zoho ManageEngine 0day。第一个是 CVE-2020-10189,它被密币挖矿机、勒索团伙和 APT 团伙遭利用,而且NSA表示该漏洞是2020年最常被用于在服务器上植入 web shell的漏洞之一。
【开奖啦!!!!!】
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。
@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo
大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。
如下是本书相关讲解:
推荐阅读
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
原文链接
https://therecord.media/cisa-warns-of-zoho-server-zero-day-exploited-in-the-wild/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
4971
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
