Crédit : Dreamstime
Des groupes de cyberespionnage exploitent une vulnérabilité critique couverte précédemment ce mois-ci dans ManageEngine ADSelfService Plus, un service de gestion des mots de passe et d’authentification unique (SSO) en libre-service pour les environnements de site Active Directory.
Le FBI, la CISA et le United States Coast Guard Cyber Command (CGCYBER) exhortent les organisations qui utilisent le produit pour libérer l’emplacement offert dès que possible et inspecter leurs systèmes pour détecter tout signe de compromission.
» Le FBI, la CISA et le CGCYBER examinent que les cyberstars innovantes à risque implacable (APT) sont probablement parmi ceux qui utilisent la vulnérabilité », ont déclaré les 3 sociétés dans un avis conjoint. » L’exploitation de ManageEngine ADSelfService Plus représente une menace majeure pour les sociétés d’infrastructure cruciales, les spécialistes de la défense agréés par les États-Unis, les établissements universitaires et les autres entités qui utilisent le logiciel. «
Contournement d’authentification et RCE
L’utilisation faite de la vulnérabilité est suivie comme CVE-2021-40539 et permet aux opposants de contourner les exigences d’authentification en envoyant des requêtes spécialement conçues aux URL de l’API REST du produit. Ce contournement d’authentification permet aux attaquants d’accéder à des fonctionnalités permettant l’exécution de code à distance.
ManageEngine, une division du fournisseur de logiciels en tant que service (SaaS) Zoho, a couvert le défaut le 6 septembre. dans ADSelfService Plus build 6114. Les avis de Zoho et de CISA ne précisent pas si le défaut a été trouvé dans la nature ou si des agresseurs ont commencé à l’exploiter après le lancement du correctif.
Les attaques observées jusqu’à présent utilisent la vulnérabilité pour publier shells Web – scripts de porte dérobée basés sur le Web – serveurs en ligne hébergeant des déploiements ADSelfService sensibles. Ces coquilles Web permettent ensuite aux opposants de mener des activités post-exploitation, notamment le vol de qualifications administratives et le déplacement latéral du réseau vers d’autres systèmes.
La chaîne d’attaque
Les attaquants téléchargent tout d’abord un fichier a.zip contenant un shell Web JavaServer Pages (JSP) qui se fait passer pour un certificat x509 appelé service.cer. Ce fichier est placé dans le répertoire ManageEngineADSelfService Plusbin. La dernière version du shell Web s’appelle ReportGenerate.jsp et se trouve dans le dossier ManageEngineADSelfService Plushelpadmin-guideReports.
La présence de l’un de ces 2 fichiers est un signe que le système a été compromis. Selon l’avis de ManageEngine, les utilisateurs peuvent également examiner le journal d’accès et le journal de sortie du serveur pour les entrées qui pourraient montrer une attaque efficace. S’il existe un facteur permettant de croire que le fabricant a été réellement compromis, ManageEngine conseille aux organisations de respecter les actions suivantes :
- Détachez le fabricant avec la configuration du réseau.
- Développez une copie du fichier de sauvegarde de la base de données et stockez-la à d’autres endroits.
- Formatez la machine compromise.
- Téléchargez et configurez ManageEngine ADSelfService Plus. La construction de la nouvelle configuration doit être la même que celle de la sauvegarde.
- Restaurer la sauvegarde et démarrer le serveur. Il est conseillé d’utiliser une configuration matérielle différente pour la nouvelle installation.
- Dès que le serveur est opérationnel, mettez à niveau la configuration vers la version actuelle, 6114, à l’aide du service pack.
- Vérifiez l’accès ou l’utilisation non autorisé des comptes. De même, recherchez toute preuve de mouvement latéral de l’appareil compromis vers d’autres machines. S’il y a des signes de comptes de site Active Directory compromis, initiez la réinitialisation du mot de passe pour ces comptes.
Selon CISA, dans les attaques observées jusqu’à présent, les pirates ont utilisé l’instrumentation de gestion Windows (WMI) au moyen de l’énergie wmic.exe pour le mouvement latéral et l’exécution de code à distance. Étant donné qu’ADSelfService Plus est un service de gestion de mot de passe et d’authentification unique, les agresseurs ont également obtenu des informations d’identification en texte clair des implémentations compromises pour le mouvement latéral.
Les attaquants ont également éliminé et exfiltré les bases de données ManageEngine, le fichier Ntds.dit qui stocke Les informations Active Directory et le registre informatique SECURITY/SYSTEM/NTUSER proviennent de systèmes compromis. Pour rendre la détection plus difficile, ils ont effacé les journaux et utilisé une infrastructure américaine compromise dans les attaques.
» Les cyber-acteurs de l’APT ont ciblé des organisations scolaires, des professionnels de la défense et des entités d’installations cruciales dans plusieurs secteurs du marché, notamment les transports. , informatique, production, communications, logistique et financement. L’accès illicite aux informations et aux détails peut interrompre les opérations de l’entreprise et renverser une étude américaine dans plusieurs secteurs « , ont déclaré le FBI, la CISA et le CGCYBER.
Toute l’actualité en temps réel, est sur L’Entrepreneur
