聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
商业软件提供商 Zoho 督促客户尽快将 Desktop Central 和 Desktop Central MSP 更新至最新版本。
Zoho 公司的ManageEngine Desktop Central 是一款管理平台,帮助管理员自动将补丁和软件部署到网络并进行远程调试。
Zoho 公司修复了严重漏洞(CVE-2021-44515)后发出该警报。该漏洞可导致攻击者绕过认证,在未修复的 ManageEngine Desktop Central 服务器(Desktop Central Cloud 未受影响)上执行任意代码。Zoho 在通知中表示,“我们注意到该漏洞遭利用的迹象,强烈建议客户尽快更新至最新版本。”
Zoho 提供了漏洞将测工具 Exploit Detection Tool 供用户查看自己所用版本是否已遭攻击。
Zoho 建议,如遭攻击,则断开网络连接并备份所有关键的业务数据,将受攻陷服务器格式化、恢复 Desktop Central 并将其更新至最新版本。如发现攻陷迹象,则建议“为遭访问的所有服务、账户、Active Directory 等重置密码”以及重置 Active Directory 管理员密码。
从 Shodan 快速搜索可知,3200多个 ManageEngine Desktop Central 实例在多个端口上运行并暴露于攻击。
正遭攻击的 Zoho ManageEngine
这并非 Zoho ManageEngine 首次遭攻击。尤其是 Desktop Central 实例此前曾遭入侵,并至少从2020年7月开始,受攻陷网络的访问权限就在黑客论坛上售卖。
网络情报公司 KELA 发现了这些攻击的幕后黑手,后者向全球各地的企业出售网络访问权限并声称访问了位于美国、英国、西班牙和巴西的设备。更近期的案例是,2021年8月至10月期间,Zoho ManageEngine 产品被指遭国家黑客攻击。
攻击者集中于并通过三次攻击攻陷了全球的关键基础设施组织机构的网络。他们在攻击中利用了 ADSelfService 中的一个 0day exploit (8月初至9月中)、AdSselfService 中的一个nday exploit(10月末之前)以及 ServiceDesk 中的一个漏洞(自10月25日起)。
攻击发生后,FBI 和 CISA 联合发布警报称 APT 组织利用多个ManageEngine 漏洞 在目标关键基础设施组织机构网络上释放 webshell,这些机构包括医疗机构、金融服务、电子企业和IT咨询行业。
此外,这两家机构指出,难以证明攻击中的攻陷是否成功,因为“攻击者会运行旨在删除攻陷初始点痕迹的清理脚本,并隐藏漏洞和 webshell 之间的任意关联性。”
目前 Zoho 公司尚未就CVE-2021-44515漏洞被在野利用的情况置评。
攻陷检测地址:
https://www.manageengine.com/products/desktop-central/cve-2021-44515-authentication-bypass-filter-configuration.html
推荐阅读
速修复!CISA警告称 Zoho 服务器0day已遭在野利用
超8成项目存在高危开源漏洞 《2021中国软件供应链安全分析报告》发布
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
原文链接
https://www.bleepingcomputer.com/news/security/zoho-patch-new-manageengine-bug-exploited-in-attacks-asap/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
432
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
