Identification du nouveau Zero Day dans les serveurs centraux de bureau Acronis

  • FrançaisFrançais



  • Le FBI a émis une alerte révélant que les acteurs APT exploitaient activement une vulnérabilité zero-day – CVE-2021-44515 – sur les serveurs ManageEngine Desktop Central.

    Les acteurs APT ont compromis les serveurs Desktop Central pour supprimer un webshell qui remplace une véritable fonction de Desktop Central. « L’acteur télécharge ensuite des outils de post-exploitation, énumérant les utilisateurs du domaine et les groupes effectuant une reconnaissance du réseau, tente un mouvement latéral et vide les informations d’identification. Le CVE-2021-44515 a été classé critique par Zoho. Il corrige une vulnérabilité de contournement d’authentification dans le logiciel qui permet à un adversaire de contourner l’authentification et d’exécuter du code arbitraire sur les serveurs Desktop Central », a déclaré le FBI.

    Les exploits

    • Chargement latéral de DLL
    • Exécuter des outils « vivre de la terre », par exemple bitsadmin
    • Analyse du réseau, par exemple nbtscan, nb.exe
    • Powershell pour l’exécution des commandes
    • Persistance via le service Windows
    • Téléchargement d’outils de post-exploitation mis en scène à partir d’autres infrastructures de victimes
    • Vidage des informations d’identification, par exemple Mimikatz, comsvcs.dll, WDigest downgrade et pwdump

    Atténuations

    Si les organisations détectent une activité liée à ces IOC au sein de leur réseau, il leur est suggéré d’agir immédiatement.

    Zoho a publié un avis de sécurité ManageEngine Desktop Central pour la vulnérabilité nouvellement identifiée CVE-2021-44515 le 3 décembre 2021.

    En octobre 2021, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI avaient mis en garde contre l’exploitation continue de la vulnérabilité dans le produit ManageEngine ServiceDesk Plus de Zoho. Suivi comme CVE-2021-44077, la vulnérabilité d’exécution de code à distance non authentifiée était connue pour affecter toutes les versions de ServiceDesk Plus jusqu’à et y compris la version 11305.

    Voir également: Le FBI et la CISA mettent en garde contre une vulnérabilité activement exploitée dans Zoho

    Attaque Webshell en hausse

    Selon Microsoft, les webshells sont omniprésents et populaires auprès des attaquants en raison de leur efficacité et de leur code simple. “Un webshell est généralement un petit morceau de code malveillant écrit dans des langages de programmation de développement Web typiques (par exemple, ASP, PHP, JSP) que les attaquants implantent sur des serveurs Web pour fournir un accès à distance et une exécution de code aux fonctions du serveur”, a déclaré Microsoft.

    Comme point d’entrée, les attaquants installent des webshells sur les serveurs en exploitant les failles de sécurité, généralement les vulnérabilités des applications Web et des serveurs Internet. « Ces attaquants analysent Internet, souvent à l’aide d’interfaces d’analyse publiques comme shodan.io, pour localiser les serveurs à cibler. Ils peuvent utiliser des vulnérabilités précédemment corrigées qui restent malheureusement non corrigées sur de nombreux serveurs, mais ils sont également connus pour tirer rapidement parti des vulnérabilités nouvellement divulguées », a expliqué Microsoft.

    Avec ces vecteurs d’attaque simples et difficiles à détecter, les failles de sécurité continuent d’être exploitées pendant des mois et ne sont découvertes que lorsqu’elles ont plus que fait sentir leur présence.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.