Le FBI et la CISA mettent en garde contre une vulnérabilité activement exploitée dans Zoho

  • FrançaisFrançais



  • La Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ont mis en garde contre l’exploitation continue de la vulnérabilité récemment corrigée dans le produit ManageEngine ServiceDesk Plus de Zoho. Suivi comme CVE-2021-44077, la vulnérabilité d’exécution de code à distance non authentifiée affecte toutes les versions de ServiceDesk Plus jusqu’à et y compris la version 11305.

    L’exploitation réussie de cette faille pourrait permettre à un attaquant de télécharger des fichiers exécutables et de placer des shells Web qui permettent des activités post-exploitation telles que la compromission des informations d’identification de l’administrateur, la réalisation de mouvements latéraux et l’exfiltration de ruches de registre et de fichiers Active Directory. Bien qu’il n’y ait aucune information sur les attaquants à l’origine de cette exploitation, le FBI et la CISA soupçonnent que les acteurs de la menace persistante avancée (APT) font partie de ceux qui exploitent la vulnérabilité.

    Lisez aussi: CISA et le FBI demandent aux partenaires des infrastructures critiques d’être vigilants en cette saison des fêtes

    Alors que Zoho a publié le correctif pour cette vulnérabilité le 16 septembre 2021, le FBI et la CISA ont déclaré que les acteurs de la menace exploitaient la faille CVE-2021-44077 depuis octobre 2021.

    Les agences ont également identifié des attaquants en utilisant diverses tactiques, techniques et procédures (TTP), notamment :

    • Écrire des shells Web sur le disque pour la persistance initiale
    • Obfuscation et désobscurcissement/décodage de fichiers ou d’informations
    • Effectuer d’autres opérations pour vider les informations d’identification de l’utilisateur
    • Vivre de la terre en utilisant uniquement des binaires Windows signés pour les actions de suivi
    • Ajouter/supprimer des comptes d’utilisateurs au besoin
    • Vol de copies de la base de données Active Directory (NTDS.dit) ou des ruches de registre
    • Utilisation de Windows Management Instrumentation (WMI) pour l’exécution à distance
    • Suppression de fichiers pour supprimer les indicateurs de l’hôte
    • Découverte des comptes de domaine avec la commande net Windows
    • Utilisation des utilitaires Windows pour collecter et archiver des fichiers pour exfiltration
    • Utilisation du chiffrement symétrique personnalisé pour le commandement et le contrôle (C2)

    Actions requises

    Les agences ont exhorté les organisations à signaler si elles découvrent l’existence de l’un des scénarios suivants :

    • Identification des indicateurs de compromis comme indiqué ci-dessus.
    • Présence de code webshell sur les serveurs ServiceDesk Plus compromis.
    • Accès ou utilisation non autorisé des comptes.
    • Preuve de mouvement latéral d’acteurs malveillants ayant accès à des systèmes compromis.
    • Autres indicateurs d’accès non autorisé ou de compromission.

    La CISA et le FBI ont exhorté les organisations à être vigilantes et à corriger leurs réseaux vulnérables avec les récentes mises à jour.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.