【安全资讯】APT组织利用WindowsAD域管理软件漏洞进行攻击活动

引言

9月16日，联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布联合警报，称有APT组织正利用 ManageEngine ADSelfService Plus（Windows AD域管理软件）中新发现的CVE-2021-40539漏洞展开攻击活动。

简况

CVE-2021-40539是一种身份验证绕过漏洞，CVSS评级为严重，影响ADSelfService Plus中的REST API URL。FBI、CISA 和 CGCYBER 评估认为，APT组织很可能正利用该漏洞进行攻击活动。CVE-2021-40539漏洞的利用对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用ManageEngine ADSelfService Plus的实体构成严重风险。成功利用该漏洞允许攻击者放置 webshell，从而使对手能够进行后利用活动，例如破坏管理员凭据、进行横向移动。

联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布的联合警报如下：

2021年8月，研究人员就观察到攻击者利用CVE-2021-40539漏洞访问 ManageEngine ADSelfService Plus，攻击者使用的TTP如下：

• 将webshell写入磁盘以实现初始持久化；
• 混淆和解码文件或信息；
• 进一步操作以转储用户凭据 ；
• 仅使用已签名的 Windows 二进制文件进行后续操作；
• 根据需要添加/删除用户帐户；
• 窃取 Active Directory 数据库 ( NTDS.dit)或注册表配置单元的副本；
• 使用 Windows Management Instrumentation (WMI) 进行远程执行；
• 删除文件以从主机中移除指标；
• 使用netWindows 命令发现域帐户；
• 使用 Windows 实用程序收集和存档文件以进行渗漏；
• 使用自定义对称加密。

总结

警报中称，APT攻击者的目标是多个行业领域的学术机构、国防承包商和关键基础设施实体，包括运输、IT、制造、通信、物流和金融。非法获得的访问权限和信息可能会扰乱公司的正常运营，影响美国的多个领域。Zoho 于9月6日发布的ManageEngine ADSelfService Plus build 6114修复了 CVE-2021-40539。因此，FBI、CISA 和 CGCYBER 强烈敦促用户和管理员更新到 ADSelfService Plus build 6114。