米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、Zoho ManageEngineサーバの脆弱性がすでに活発に悪用されているため、このゼロデイ脆弱性を修正するよう企業に警告しています。
このCVE-2021-40539としてトラックされている脆弱性は、インドのZoho社が提供しているパスワード管理およびサイン・サイン・オン(SSO)ソリューションであるZoho ManageEngine ADSelfService Plusに存在する脆弱性です。
これはADSelfService PlusのREST APIを利用した認証をバイパスすることができるもので、攻撃者はZohoサーバー上で悪意のあるコードを実行することができるものとなっています。
リモートの攻撃者は、この脆弱性を悪用して、影響を受けるシステムを制御することができます
セキュリティ企業CrowdStrike社の主席情報アナリストであるマット・ダール氏によると、Zohoのゼロデイはパッチが適用されたものの、同時期に発生したConfluenceサーバーに対する攻撃の前から、1週間以上にわたって攻撃を受けていたとのことです。
Dahl氏は一連のツイートの中で、これらの攻撃は標的型攻撃であり、1つの攻撃者によって行われた可能性が高いと述べています。
ターゲットを絞った侵入活動に限定的に使用(単一のアクターの可能性もあるが、現時点では不明)。
アクター(複数)は明確な目的を持っており、迅速に侵入、退去する能力があると思われる
既知のPOCがないため、悪用は難しいと思われる
現在のところ、この脆弱性に関するコードやテクニカルレポートは公開されておらず、攻撃者が公開されているコードを武器にするのではなく、独自にバグを発見したことを示唆しています。
脆弱性を検出する方法
Zohoのアドバイザリに記載されているように、自社のシステムが今回のゼロデイによって侵害されたかどうかを調査したい場合は、以下の手順を踏むことができます。
- ManageEngine/ADSelfService Plus/logs フォルダー内のアクセスログを検索し、以下の文字列を見つけます。
- /RestAPI/LogonCustomization
- /RestAPI/Connection
ログの中にこの2つのエントリが見つかった場合、影響を受けるサーバであることがわかるため、ADSelfService Plusをサービスパックを使用して最新のビルド6114にアップデートすることが推奨されています。
現時点でインターネット上でアクセス可能なZoho ManageEngineサーバーは11,000台以上あるとされており、これは攻撃に積極的に利用されているZoho ManageEngineの2つ目の大きなゼロデイとなります。
1つ目のCVE-2020-10189ではクリプトマイナー、ランサムウェアギャング、APTグループによって悪用され、NSAによると、2020年に最もよく悪用された脆弱性の一つで、サーバーにウェブシェルを仕掛けるために使用されていたものです。
Comments