ビジネスソフトウェアプロバイダーのZohoは、Desktop CentralおよびDesktop Central MSPのインストールを利用可能な最新バージョンに更新するようユーザに警告しました。
Desktop Centralに最近確認された認証バイパスの脆弱性についてのものです。これはDesktop Central MSPにも適用されます。CVE-2021-44515として登録されているこの脆弱性は、現在修正され、2021年12月3日の最新ビルドでリリースされています。
ZohoのManageEngine Desktop Centralは、管理者がパッチやソフトウェアをネットワーク経由で自動的に展開したり、リモートでトラブルシューティングしたりするのに役立つ管理プラットフォームです。
今回の警告は、パッチが適用されていないManageEngine Desktop Centralサーバーにおいて、攻撃者が認証をバイパスして任意のコードを実行できる可能性がある重要な脆弱性(CVE-2021-44515)にパッチを適用したことによります。(Desktop Central Cloudは影響を受けません)
この脆弱性が悪用されている兆候が見られるため、お客様にはできるだけ早くインストールを最新のビルドに更新することを強くお勧めします
Zoho社のExploit Detection Tool(エクスプロイト検出ツール)を使用して、この脆弱性が利用されていないかどうかを確認することができます。
- Exploit Detection Toolをダウンロードし、ManageEngine\UEMS_CentralServerフォルダ、またはManageEngine\DesktopCentral_Serverフォルダに解凍します。
- 管理者権限でコマンドプロンプトを起動し、「ManageEngine\UEMS_CentralServer」または「ManageEngine\DesktopCentral_Server」のどちらかに移動します。
- コマンド RCEScan.bat を実行します。
- インストールが影響を受けている場合、「Compromised」というメッセージが表示されます。インストールが影響を受けていない場合は、「Not Compromised」というメッセージが表示されます。
影響を受けた場合は、影響を受けたシステムの重要な業務データをネットワークから切り離してバックアップし、侵害されたサーバーをフォーマットし、Desktop Centralを復元し、インストールが終了したら最新のビルドにアップデートすることを推奨しています。
また、侵害の兆候が見つかった場合は、Active Directory の管理者パスワードとともに、「サービスがインストールされたマシンからアクセスされたすべてのサービス、アカウント、Active Directory などのパスワードのリセット」を行うことを推奨しています。
Shodan で検索すると、3,200 以上の ManageEngine Desktop Central インスタンスが様々なポートで動作しており、攻撃にさらされていることがわかりました。
Zoho ManageEngine の継続的な標的
Zoho ManageEngine のサーバーが攻撃の対象になっているのは、今回が初めてではなく、特にDesktop Centralインスタンスは、少なくとも2020年7月以降からハッキングされ、侵害されたネットワークへのアクセスがハッキングフォーラムで販売されているようです。
これらのオファーの背後にいる攻撃者を発見したサイバーインテリジェンス企業のKELAによると、彼らは世界中の企業にネットワークアクセスを販売しており、米国、英国、スペイン、ブラジルの他の企業にもアクセスできるとコメントしています。
さらに最近では、2021年8月から10月にかけて、Zoho ManageEngine製品が、中国をバックにしたハッキンググループAPT27が使用しているものと同様の戦術とツールを用いた国家のハッカーに狙われました。
この攻撃者は、8月上旬から9月中旬までのADSelfServiceのゼロデイエクスプロイト、10月下旬までのAdSelfServiceのnデイエクスプロイト、10月25日からのServiceDeskのエクスプロイトを用いた3つの異なるキャンペーンで、世界中の重要インフラ組織のネットワークに焦点を当て、侵害を行いました。
これらの攻撃の後、FBIとCISAはAPTがManageEngineの脆弱性を悪用して、ヘルスケア、金融サービス、エレクトロニクス、ITコンサルティング業界などの重要インフラ組織のネットワークにウェブシェルを落としていることを警告するアドバイザリーを発表しました。
また、米国の2つの連邦政府機関は、”攻撃者は、最初の侵害ポイントの痕跡を取り除き、脆弱性の利用とウェブシェルの関係を隠すように設計されたクリーンアップ・スクリプトを実行することが知られている “ことから、これらの攻撃で侵害が成功したことを確認することは困難であると述べています。
Comments