Security Week 49: критическая уязвимость в Zoho ManageEngine

Security Week 49: критическая уязвимость в Zoho ManageEngine
3 декабря компания Zoho, разработчик ПО и сервисов для совместной работы, раскрыла данные о критической уязвимости в программе Zoho ManageEngine Desktop Central. Это приложение для централизованного управления парком устройств в организации. Уязвимость CVE-2021-44515 позволяет обойти систему авторизации и выполнить произвольный код на сервере.

5ff0efe3954e8658bbd775585e976e01.png

Уязвимость классифицируется как zero day: на момент обнаружения она уже эксплуатировалась злоумышленниками. Это далеко не первая успешная попытка атаки на корпоративные решения Zoho. В начале ноября уже приходили сообщения о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему Single Sign-On и предоставляет сотрудникам интерфейс для смены пароля.

Атаки на ADSelfService регистрируются с середины сентября. Тогда доступные извне инсталляции Zoho подверглись массовому сканированию, а позднее против уязвимых систем был применен эксплойт к багу CVE-2021-40539 . Уязвимость позволяла обойти систему авторизации на сервере, выполнить произвольный код и таким образом получить доступ к локальной сети предприятия. Пострадали как минимум девять организаций в США. На взломанные системы устанавливался бэкдор NGLite и инструмент для кражи учетных данных KdcSponge.

В начале ноября была отмечена еще одна атака с использованием уязвимости CVE-2021-44077 в компоненте Zoho ManageEngine ServiceDesk Plus. Атаки на Zoho совпали по времени с попытками взлома другого популярного корпоративного инструмента — Atlassian Confluence. Правда, эксплуатация уязвимости в Jira началась через неделю после выпуска патча.

Что еще произошло:

Вышли новые отчеты экспертов «Лаборатории Касперского»: обзор APT-атак в 2021 году и прогнозы на 2022 год по угрозам для финансовых организаций.

BleepingComputer написал о фишинговой атаке на «проверенных» (verified) пользователей Твиттера.

В Канаде произошла серия угонов дорогих автомобилей с использованием меток Apple AirTags. Как минимум в пяти случаях злоумышленники приклеивали метку к автомобилю на общественной парковке. Это позволяло отслеживать его перемещения. Взлом машины, как правило, производился возле дома владельца. В статье упомянута интересная рекомендация от канадской полиции: «маячок» можно обнаружить, если у вас есть iPhone — он сообщит о чужой метке поблизости. Если ваш смартфон не от Apple, у вас нет возможности обнаружить слежку.

В США судят бывшего сотрудника компании Ubiquiti. Ранее он скопировал конфиденциальные данные с корпоративной учетки на GitHub и сервера AWS, после чего пытался получить два миллиона долларов выкупа. Переговоры с работодателем злоумышленник вел с домашнего компьютера через VPN-сервис, но в какой-то момент удалось установить его реальный IP. Судя по судебным документам, вымогателя подвел внезапный сбой подключения к VPN.

Тавис Орманди из Google Project Zero опубликовал технический обзор уязвимости в Network Security Service — криптографической библиотеки, которую Mozilla разрабатывает для браузера Firefox и других решений. Уязвимость приводит к повреждению памяти, если передать в NSS подготовленный сертификат с подписью сверхбольшого размера. В статье есть два интересных вывода. Первый: ошибки встречаются даже в критически важном ПО, которое подвергается регулярному аудиту. Второй вывод: уязвимость удалось обнаружить благодаря снятию ограничений на размер данных, генерируемых фаззером. Типичное ограничение на размер payload в 10 килобайт подобную проблему не выявляет.

Издание Vice рассказало про использование «виртуальных телефонных номеров» для обхода системы авторизации через SMS. Поборники приватности часто рекомендуют сервисы, предоставляющие виртуальный номер для получения SMS, чтобы избежать привязки к постоянному номеру телефона. Но в данном случае злоумышленники применяют их же для создания множества фейковых аккаунтов, например на игровых серверах.

В ComputerWeekly вышел интересный обзор последствий реальной атаки группы кибервымогателей на французскую компанию. Из рекомендаций по итогам данного опыта: есть смысл как можно позже выходить на связь с преступниками, это дает время на оценку масштабов взлома.
zoho
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!