Les victimes de Zoho Flaw comprennent neuf organisations critiques
Français
Les fournisseurs d’infrastructures et de technologies critiques deviennent une cible fréquente pour les adversaires parrainés par l’État. Une équipe de recherche en sécurité de l’unité 42 de Palo Alto Networks a découvert une campagne de cyberespionnage en cours qui a déjà ciblé neuf organisations appartenant à des secteurs mondiaux critiques, notamment l’éducation, la défense, les soins de santé, l’énergie et la technologie. Avec des contributions de la National Security Agency (NSA), le rapport de recherche a révélé que la campagne est axée sur le vol d’informations critiques auprès d’entrepreneurs américains de la défense.
Sommaire
Exploiter une vulnérabilité dans Zoho
Les chercheurs ont découvert que les cybercriminels ont pénétré les systèmes de réseau critiques internationaux en exploitant une vulnérabilité récemment corrigée CVE-2021-40539 dans le produit ADSelfService Plus de Zoho, ManageEngine, un outil de gestion des identités et des accès. La faille a permis aux attaquants de contourner l’authentification de l’API REST avec l’exécution de code à distance résultante. Après avoir exploité la faille, les acteurs de la menace ont déployé deux portes dérobées malveillantes : Webshell Godzilla et Charge utile NGLite sur les systèmes ciblés. Le Webshell Godzilla peut analyser les requêtes HTTP POST entrantes et déchiffrer les données sensibles.
Après avoir obtenu un accès complet aux contrôleurs de domaine, les attaquants ont déployé KdcSponge – un nouvel outil de vol d’informations d’identification déployé contre les contrôleurs de domaine pour voler les informations d’identification. Les chercheurs ont déclaré: «KdcSponge s’injecte dans le processus du service de sous-système de l’autorité de sécurité locale (LSASS) et accrochera des fonctions spécifiques pour collecter les noms d’utilisateur et les mots de passe des comptes tentant de s’authentifier sur le domaine via Kerberos. Le code malveillant écrit les informations d’identification volées dans un fichier, mais dépend d’autres capacités d’exfiltration. »
Les chercheurs ont également affirmé que Godzilla et NGLite ont été développés avec des instructions chinoises et sont disponibles publiquement en téléchargement sur GitHub.
L’impact
Plus de 370 organisations américaines ont été incluses dans une vaste analyse pour identifier les serveurs Zoho vulnérables. La campagne montre des connexions entre des serveurs malveillants et des organisations américaines, notamment des agences du ministère de la Défense, des sous-traitants de la défense, des établissements d’enseignement et des organisations de soins de santé. Selon les analyses de la plate-forme Cortex Xpanse de Palo Alto, plus de 11 000 systèmes exposés à Internet dans le monde exécutent le logiciel Zoho concerné. Les analyses n’ont pas indiqué quel pourcentage de ces systèmes ont déjà été corrigés.
Le directeur de la cybersécurité de l’Agence de sécurité nationale des États-Unis, Rob Joyce, a demandé aux utilisateurs et aux organisations d’examiner les conclusions de l’Unité 42 à la recherche d’indicateurs de compromission de la campagne de logiciels malveillants en cours.
Consultez ce blog et recherchez sur vos réseaux les IOC liés à cette activité malveillante en cours. Le partage des menaces entre les partenaires public-privé fait la différence contre les intrusions de l’adversaire. Bon travail de tous les participants ! https://t.co/uLEtkrPGNf
– Rob Joyce (@NSA_CSDirector) 8 novembre 2021
Alerte précoce
Des rapports suggèrent que la campagne a commencé le 17 septembre, un jour après que CISA a mis en garde contre l’exploitation active des vulnérabilités de Zoho, y compris CVE-2021-40539. L’agence a déclaré que l’exploitation de ManageEngine ADSelfService Plus pose un risque grave pour les entreprises d’infrastructures critiques, les sous-traitants de la défense agréés par les États-Unis, les établissements universitaires et les autres entités qui utilisent le logiciel.
L’agence a récemment publié une directive opérationnelle contraignante (BOD) pour réduire le risque de vulnérabilités activement exploitées. La nouvelle directive, qui s’applique à tous les logiciels et matériels trouvés sur les systèmes d’information fédéraux, exige des agences civiles fédérales qu’elles remédient à ces vulnérabilités dans des délais précis.
Implication d’acteurs chinois
Alors que les acteurs de la menace derrière la campagne sont encore inconnus, les chercheurs de l’Unité 42 pensent que les techniques utilisées dans la campagne sont similaires à celles du groupe de menace chinois. Émissaire Panda, également connu sous le nom de TG-3390 et APT27.
« Nous pouvons voir que TG-3390 a utilisé de la même manière l’exploitation Web et un autre webshell chinois populaire appelé ChinaChopper pour leurs positions initiales avant de tirer parti des informations d’identification volées légitimes pour les mouvements latéraux et les attaques sur un contrôleur de domaine. Bien que les webshells et les exploits diffèrent, une fois que les acteurs ont eu accès à l’environnement, nous avons noté un chevauchement dans certains de leurs outils d’exfiltration », ont ajouté les chercheurs.
ManageEngine répond
Répondre à un e-mail de CISO MAG, le porte-parole de ManageEngine a déclaré : « Nous avons corrigé une vulnérabilité de contournement d’authentification dans ADSelfService Plus de ManageEngine. La vulnérabilité affecte les URL de l’API REST et pourrait entraîner l’exécution de code à distance. Nous avons publié un correctif et informé tous nos clients du bug. Ils sont priés de mettre à jour le logiciel vers la dernière version (build 6114) dès que possible. Un avis public, détaillant les mesures à prendre par les clients s’ils sont concernés, a été émis. Veuillez vous référer à ce lien. Nous prenons également des mesures pour appliquer les leçons de cet incident et pour introduire des mesures de contrôle de sécurité supplémentaires si nécessaire. »
Conclusion
Les organisations de toutes tailles doivent réagir rapidement aux divulgations de vulnérabilités critiques et adopter les précautions de sécurité nécessaires pour empêcher les exploits potentiels. Ceci est crucial pour les entreprises des secteurs critiques qui sont constamment ciblées par les opérateurs de ransomwares à la recherche de vulnérabilités.
Les vulnérabilités doivent être divulguées aux organisations des fournisseurs en temps opportun afin que des mesures correctives puissent être prises rapidement. Les programmes de divulgation des vulnérabilités offrent des directives sur la façon de soumettre des vulnérabilités de sécurité aux organisations. Ils aident les organisations à atténuer les risques en soutenant et en permettant la divulgation et la correction des vulnérabilités avant qu’elles ne soient exploitées (Source : Bugcrowd).
