0
0
Um grupo APT está aproveitando uma vulnerabilidade crítica (CVE-2021-44077) no Zoho ManageEngine ServiceDesk Plus para comprometer organizações em uma variedade de setores, incluindo defesa e tecnologia.
“A exploração bem-sucedida da vulnerabilidade permite que um invasor carregue arquivos executáveis e coloque webshells, o que permite que o adversário realize atividades pós-exploração, como comprometer credenciais do administrador, realizar movimentos laterais e extrair colmeias de registro e arquivos do Active Directory”, adverte a Agência de Segurança Cibernética e Infraestrutura (CISA).
Sobre o CVE-2021-44077
O CVE-2021-44077 é uma vulnerabilidade de desvio de autenticação que afeta as instalações ManageEngine ServiceDesk Plus (no local) usando as versões 11305 e anteriores.
A origem da vulnerabilidade é um processo de configuração de segurança inadequado usado no ServiceDesk Plus, e permite que atacantes obtenham acesso não autorizado aos dados do aplicativo por meio de algumas de suas URLs de aplicativos.
“Para fazer isso, um invasor precisa manipular qualquer caminho de URL de aplicativo vulnerável do módulo de ativos com uma substituição adequada do conjunto de caracteres”, explicou a empresa.
“Essa URL pode ignorar o processo de autenticação e buscar os dados necessários para o invasor, permitindo que o invasor obtenha acesso não autorizado aos dados do usuário ou realize ataques subsequentes.”
A vulnerabilidade foi corrigida pela ManageEngine (uma subsidiária da Zoho) em 16 de setembro de 2021, lançando a versão 11306.
Os ataques
Os ataques que exploram o CVE-2021-44077 vêm acontecendo há algum tempo.
A Unidade 42 da Palo Alto Networks vinculou a atividade a um “ator persistente e determinado do APT” que primeiro usou uma vulnerabilidade de dia zero no ADSelfService em agosto e setembro, depois mudou para explorar outra vulnerabilidade (CVE-2021-44077) que afeta o mesmo software em setembro e outubro, e agora está (desde o final de outubro) aproveitando
Como não há código de exploração de prova de conceito disponível publicamente para CVE-2021-44077, os pesquisadores postulam que o ator do APT desenvolveu o código de exploração para seus ataques.
“Após a exploração, o ator foi observado carregando um novo conta-gotas para os sistemas das vítimas. Semelhante às táticas anteriores usadas contra o software ADSelfService, este conta-gotas implanta um webshell Godzilla que fornece ao ator mais acesso e persistência em sistemas comprometidos”, eles compartilharam.
“Nos últimos três meses, pelo menos 13 organizações nos setores de tecnologia, energia, saúde, educação, finanças e defesa foram comprometidas [por este APT]. Das quatro novas vítimas, duas foram comprometidas por meio de servidores ADSelfService Plus vulneráveis, enquanto duas foram comprometidas através do software ServiceDesk Plus. Prevemos que esse número aumentará à medida que o ator continuar a realizar atividades de reconhecimento contra essas indústrias e outras, incluindo infraestrutura associada a cinco estados dos EUA.”
Mitigação e remediação
A verificação da Unidade 42 para instâncias voltadas para a Internet do ManageEngine ServiceDesk Plus revelou mais de 4.700 instalações, 2.900 das quais são vulneráveis à exploração. Cerca de 600 deles estão localizados nos EUA.
Os pesquisadores compartilharam detalhes técnicos e IoCs desses últimos ataques explorando o CVE-2021-44077, bem como conselhos para organizações sobre como se defender.
O aviso CISA também oferece informações semelhantes, bem como indicadores de rede, TTPs, regras Yara e conselhos de mitigação, e a Zoho forneceu detalhes adicionais e uma ferramenta de detecção de exploração para download que as empresas podem usar para executar uma varredura rápida e descobrir quaisquer compromissos em sua instalação.
Finalmente, os pesquisadores de Palo Alto ofereceram um aviso adicional:
“Ao continuar acompanhando as atividades desse ator, acreditamos que também é importante notar que, em 9 de novembro, observamos o ator se conectando aopasswordmanagerpromsp[.]com. Este domínio está associado a outro produto ManageEngine que fornece aos Provedores de Serviços Gerenciados (MSPs) a capacidade de gerenciar senhas entre vários clientes em uma única instância. No início deste ano, a Zoho lançou um patch para CVE-2021-33617 afetando este produto. Embora não tenhamos visto nenhuma tentativa de exploração até o momento, dado o padrão emergente do ator de segmentar os produtos ManageEngine e o interesse do ator neste terceiro produto, recomendamos que as organizações apliquem os patches relevantes.”
FONTE: HELPNET SECURITY