CISA, FBI: APT respaldadas por el estado están explotando el error crítico de Zoho - Calendae | Informática, Electrónica, CMS, Ciberseguridad

CISA, FBI: APT respaldadas por el estado están explotando el error crítico de Zoho

Hola de nuevo. Soy Eduardo Arroyo y en el día de hoy te voy a hablar sobre CISA, FBI: APT respaldadas por el estado están explotando el error crítico de Zoho

CISA, FBI: APT respaldadas por el estado podrían aprovechar el error crítico de Zoho

El error recientemente identificado en una herramienta de administración de contraseñas y de inicio de sesión único de Zoho ha sido objeto de un ataque activo desde principios de agosto.

El FBI, CISA y el Comando Cibernético de la Guardia Costera de los EE. UU. (CGCYBER) advirtieron hoy que es probable que los actores de amenazas persistentes avanzadas (APT) respaldados por el estado se encuentren entre los que explotaron activamente un error recientemente identificado en un inicio de sesión único y administración de contraseñas de Zoho. herramienta desde principios del mes pasado.

En cuestión se encuentra una vulnerabilidad crítica de omisión de autenticación en la plataforma Zoho ManageEngine ADSelfService Plus que puede conducir a la ejecución remota de código (RCE) y luego abrir puertas corporativas a atacantes que pueden volverse locos, con dominio libre en Active Directory (AD) y cuentas de usuario en la nube. .

Zoho ManageEngine ADSelfService Plus es una plataforma de autoservicio de administración de contraseñas e inicio de sesión único (SSO) para AD y aplicaciones en la nube, lo que significa que cualquier atacante cibernético capaz de tomar el control de la plataforma tendría múltiples puntos de articulación en ambos. aplicaciones críticas (y sus datos confidenciales) y otras partes de la red corporativa a través de AD. En otras palabras, es una aplicación poderosa y altamente privilegiada que puede servir como un punto de entrada conveniente a áreas profundas dentro de la huella corporativa, tanto para usuarios como para atacantes.

Martes pasado, Zoho ha lanzado un parcheZoho ManageEngine ADSelfService Plus compilación 6114 – para el defecto, que se rastrea como CVE-2021-40539 con un índice de gravedad de 9,8. Como Agencia de Seguridad de Infraestructura y TI (CISA) prevenido en ese momento, se explotó activamente en la naturaleza como un día cero.

Según hoy asesoramiento conjunto por parte de las tres agencias de seguridad cibernética del gobierno – el FBI, CISA y CGCYBER – los exploits representan «un riesgo grave para las empresas de infraestructura crítica, los contratistas de defensa con licencia de EE. UU., las instituciones académicas y otras entidades que utilizan el software».

Puede ver por qué: La explotación exitosa de un elemento clave de seguridad como un SSO y un administrador de contraseñas podría ser una alfombra bienvenida para los adversarios. Específicamente, como lo repite la advertencia, un adversario podría usar la vulnerabilidad para forzar defensas de seguridad abiertas con el fin de comprometer las credenciales del administrador, moverse lateralmente a través de la red y filtrar colmenas de registros y archivos AD.

Esto es motivo de preocupación para cualquier negocio, pero con Zoho estamos hablando de una solución de seguridad utilizada por empresas de infraestructura crítica, contratistas de defensa con licencia de EE. UU. E instituciones académicas, entre otros.

La asesoría conjunta dijo que los grupos APT se han dirigido de manera efectiva a estas entidades en múltiples industrias, incluyendo transporte, TI, manufactura, comunicaciones, logística y finanzas.

«El acceso ilegal y la información obtenida pueden interrumpir las operaciones de la empresa y subvertir la investigación estadounidense en múltiples industrias», señaló el aviso. La explotación exitosa de la vulnerabilidad permite a un atacante colocar webshells, que permiten al adversario realizar actividades posteriores a la explotación, como comprometer las credenciales de administrador, desplazarse lateralmente y exfiltrar el registro y las colmenas de archivos de Active Directory «.

Confirmar las vulnerabilidades puede ser difícil

Los ataques exitosos cargaron un archivo .zip que contenía un webshell de JavaServer Pages (JSP), accesible en /help/admin-guide/Reports/ReportGenerate.jsp, pretendiendo ser un certificado x509, service.cer. Luego, se solicitan varios puntos finales de API para aprovechar aún más el sistema de destino.

El siguiente paso en el exploit es la navegación lateral utilizando Windows Management Instrumentation (WMI), iniciar sesión en un controlador de dominio, volcar NTDS.dit y la colmena de registro SECURITY / SYSTEM, y luego un inicio de sesión más comprometido desde allí.

«Confirmar un compromiso exitoso de ManageEngine ADSelfService Plus puede ser difícil», aconsejaron las agencias de seguridad, ya que los atacantes están ejecutando scripts de limpieza diseñados para borrar sus rastros eliminando los rastros del punto inicial de compromiso y oscureciendo cualquier relación entre la explotación de CVE-2021- 40539 y webshell.

El aviso ha proporcionado esta larga lista de tácticas, técnicas y procesos (TTP) utilizados por los actores de amenazas para explotar la vulnerabilidad:

  • WMI para navegación lateral y ejecución remota de código (wmic.exe)
  • Uso de credenciales de texto sin formato adquiridas de un host ADSelfService Plus comprometido
  • Uso de pg_dump.exe para volcar bases de datos de ManageEngine
  • Volcado de NTDS.dit y SECURITY / SYSTEM / NTUSER subárbol de registro
  • Exfiltración a través de webshell
  • Actividad posterior a la explotación realizada con infraestructura estadounidense comprometida
  • Eliminar líneas de registro específicas y filtradas

Mitigaciones

Las organizaciones que detectan Indicadores de Compromiso (IoC) alrededor de sus instalaciones de ADSelfService Plus de ManageEngine «deberían actuar de inmediato», indicó el trío de agencias.

«El FBI, CISA y CGCYBER instan encarecidamente a los usuarios y administradores a actualizar a ADSelfService Plus build 6114», dijo el trío. También instaron encarecidamente a las organizaciones a mantener ADSelfService Plus alejado del acceso directo a Internet.

También recomiendan encarecidamente el restablecimiento de la contraseña de todo el dominio y el restablecimiento de la doble contraseña del vale de concesión de vales de Kerberos (TGT) «si hay alguna indicación de que el archivo NTDS.dit ha sido comprometido».

Esto dolerá

Jake Williams, cofundador y director de tecnología de la empresa de respuesta a incidentes BreachQuest, dijo que las organizaciones deben reconocer que los actores de amenazas han utilizado webshells como carga útil posterior a la explotación. En el caso de explotar esta falla de Zoho, usan webshells disfrazados de certificados, algo que los equipos de seguridad deberían poder detectar en los registros del servidor web, pero «solo si las organizaciones tienen un plan de detección».

No hay un momento como el presente para comenzar, dijo a Threatpost el jueves: «Como esta ciertamente no será la última vulnerabilidad que resulte en la implementación del shell web, se recomienda a las organizaciones que basen el comportamiento normal en los registros del servidor. Web para que puedan averiguar rápidamente cuándo se ha implementado el shell web «.

Encontrar una vulnerabilidad crítica en su sistema diseñada para ayudar a sus empleados a administrar y restablecer sus contraseñas es «exactamente tan malo como parece», señaló Oliver Tavakoli, director de tecnología de la firma de ciberseguridad Vectra. “Incluso si el servidor ADSelfService Plus no fuera accesible desde Internet, sería accesible desde cualquier computadora portátil comprometida. La recuperación será costosa: «Los restablecimientos de contraseñas de todo el dominio y los restablecimientos dobles de contraseñas de Ticket Granting Ticket (TGT)» son ciertamente dañinos por derecho propio, y los grupos APT pueden haber establecido otros medios de persistencia a lo largo del tiempo.

Esta vulnerabilidad de ManageEngine es la quinta instancia de vulnerabilidades igualmente críticas de ManageEngine este año, señaló Sean Nikkel, analista senior de inteligencia de amenazas cibernéticas en el proveedor de protección de riesgos digitales Digital Shadows. Desafortunadamente, pero como era de esperar, dada la cantidad de acceso que pueden lograr los atacantes al explotar una vulnerabilidad como esta, probablemente podamos experimentar una explotación más generalizada de este y de errores anteriores, «dada la interactividad con los procesos del sistema de Microsoft».

Nikkel continuó con otra predicción sombría: “La observación de que los grupos APT están explotando activamente CVE-2021-40539 debería resaltar la exposición potencial que podría causar. Si las tendencias son consistentes, los grupos de extorsión probablemente intentarán explotar la actividad del ransomware en un futuro no muy lejano «, reflexionó.

Todo esto indica lo que CISA et al. hicieron hincapié en estas vulnerabilidades: a saber, parche rápido. «Los usuarios del software de Zoho deben aplicar parches de inmediato para evitar los tipos de compromiso descritos en el boletín CISA», dijo Nikkel.

Ver algo, decir algo

Las organizaciones deben informar de inmediato la siguiente CISA o el FBI:

  • Identificación del IoC como se describe en el aviso.
  • Presencia de código webshell en servidores ManageEngine ADSelfService Plus comprometidos.
  • Acceso o uso no autorizado de cuentas.
  • Evidencia de movimiento lateral por parte de actores malintencionados con acceso a sistemas comprometidos.
  • Otros indicadores de acceso no autorizado o compromiso.

Estas son las instrucciones para informar:

  • Comuníquese con su oficina local del FBI en https://www.fbi.gov/contact-us/field-offices, o al FBI Cyber ​​Watch (CyWatch) al (855) 292-3937 o por correo electrónico a CyWatch@fbi.gov. Si está disponible, incluya la fecha, hora y lugar del incidente; tipo de actividad; número de personas afectadas; tipo de equipo utilizado para la actividad; el nombre de la empresa u organización presentadora; y un punto de contacto designado.
  • Para solicitar recursos de respuesta a incidentes o asistencia técnica relacionada con estas amenazas, comuníquese con CISA en Central@cisa.gov.
  • Para reportar incidentes cibernéticos a la Guardia Costera, comuníquese con el Centro Nacional de Respuesta de USCG (NRC). Teléfono: 1-800-424-8802, correo electrónico: NRC@uscg.mil.

Regla No. Seguridad de Linux n. ° 1: Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. PALO Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre el 4 reglas de oro de la seguridad de Linux. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! SUSCRÍBASE AHORA y únete Evento EN VIVO el 29 de septiembre al mediodía EST. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

No te olvides compartir en en tu Twitter y Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte