Хакеры эксплуатируют критическую уязвимость в решении Zoho

Хакеры эксплуатируют критическую уязвимость в решении Zoho

Ее эксплуатация позволяет перехватывать контроль над компьютерными системами.

image

ФБР, CISA и Киберкомандование береговой охраны (Coast Guard Cyber Command, CGCYBER) сообщили об атаках киберпреступных APT-группировок, в ходе которых активно используется критическая уязвимость в решении для единого входа и управления паролями Zoho. В список клиентов Zoho входят три из пяти компаний из списка Fortune 500, включая Apple, Intel, Nike, PayPal, HBO и пр.

Уязвимость ( CVE-2021-40539 ) была обнаружена в программном обеспечении Zoho ManageEngine ADSelfService Plus. Ее эксплуатация позволяет перехватывать контроль над компьютерными системами.

По словам экспертов, эксплуатация уязвимости в ManageEngine ADSelfService Plus представляет серьезный риск для критически важных инфраструктурных компаний, оборонных подрядчиков, академических институтов и других организаций, использующих это программное обеспечение.

Успешное использование уязвимости позволяет злоумышленнику размещать web-оболочки и проводить постэксплуатационные действия, такие как компрометация учетных данных администратора, выполнение перемещения по сети и удаление групп реестра и файлов Active Directory.

В зафиксированных атаках преступники устанавливают web-оболочку JavaServer Pages (JSP), замаскированную под сертификат x509. Web-оболочка впоследствии используется для перемещения по сети через Windows Management Instrumentation (WMI) для доступа к контроллерам домена и дампа NTDS.dit и групп реестра SECURITY/SYSTEM.

APT-группировки нацелены на широкий спектр секторов — от академических учреждений и оборонных подрядчиков до критически важных объектов инфраструктуры (например сфера транспорта, информационных технологий, производства, связи, логистики и финансов).

Специалисты Zoho исправили уязвимость в версии Zoho ManageEngine ADSelfService Plus build 6114. ФБР, CISA и CGCYBER призывают организации немедленно обновиться до ADSelfService Plus build 6114 и обеспечить отсутствие прямого доступа к ADSelfService Plus из интернета.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!