FBI、CISA、沿岸警備隊サイバーコマンド(CGCYBER)は、国家に支援されたAPT(Advanced Persistent Threat)グループが2021年8月初旬以降、Zohoのシングルサインオンとパスワード管理ソリューションの脆弱性を積極的に悪用していると警告しました。
Zohoの顧客リストには、Apple、Intel、Nike、PayPal、HBOなど、「Fortune 500企業の5社中3社」が含まれています。
CVE-2021-40539として追跡されている脆弱性は、Zoho ManageEngine ADSelfService Plusソフトウェアに発見されたもので、この脆弱性を悪用することに成功すると、攻撃者は脆弱なシステムを乗っ取ることができます。
今回の共同セキュリティ勧告は、CISAが発表した警告に続くものでCVE-2021-40539を利用した攻撃は侵害されたシステム上で遠隔操作により悪意のあるコードを実行される可能性があることを警告しています。
ManageEngine ADSelfService Plusの脆弱性が悪用されると、このソフトウェアを使用している重要インフラ企業、米国内の防衛関連企業、学術機関、その他の団体に深刻なリスクをもたらします。
この脆弱性の悪用に成功すると、攻撃者はウェブシェルを設置することができ、管理者資格の侵害、横移動、レジストリハイブやActive Directoryファイルの流出など、悪用後の活動を行うことができます
CVE-2021-40539の悪用が行われた事件では、攻撃者がx509証明書を装ったJavaServer Pages(JSP)のウェブシェルを展開する様子が確認されています。
このWebシェルは、Windows Management Instrumentation(WMI)を介してドメインコントローラにアクセスし、NTDS.ditとSECURITY/SYSTEMのレジストリハイブをダンプする横移動に使用されます。
これまでのところ、これらの攻撃の背後にあるAPTグループは、学術機関や防衛関連企業から重要インフラ事業体(輸送、IT、製造、通信、物流、金融など)まで幅広い分野を標的にしています。
脆弱性攻撃への対応策
Zohoは2021年9月6日にCVE-2021-40539の脆弱性を修正したZoho ManageEngine ADSelfService Plus build 6114をリリースしました。
FBI、CISA、CGCYBERは、企業に対しADSelfService Plusのビルド6114アップデートを直ちに適用し、ADSelfService Plusがインターネットから直接アクセスできないようにすることを求めています。
さらに、NTDS.ditファイルが侵害された形跡が見つかった場合、ドメイン全体のパスワードリセットと、二重のKerberos Ticket Granting Ticket(TGT)パスワードリセットを強く推奨しています。
Comments