【安全资讯】APT组织利用WindowsAD域管理软件漏洞进行攻击活动
引言
9月16日,联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布联合警报,称有APT组织正利用 ManageEngine ADSelfService Plus(Windows AD域管理软件)中新发现的CVE-2021-40539漏洞展开攻击活动。
简况
CVE-2021-40539是一种身份验证绕过漏洞,CVSS评级为严重,影响ADSelfService Plus中的REST API URL。FBI、CISA 和 CGCYBER 评估认为,APT组织很可能正利用该漏洞进行攻击活动。CVE-2021-40539漏洞的利用对关键基础设施公司、美国批准的国防承包商、学术机构和其他使用ManageEngine ADSelfService Plus的实体构成严重风险。成功利用该漏洞允许攻击者放置 webshell,从而使对手能够进行后利用活动,例如破坏管理员凭据、进行横向移动。
联邦调查局 (FBI)、美国海岸警卫队网络司令部 (CGCYBER) 和网络安全和基础设施安全局 (CISA) 发布的联合警报如下:
2021年8月,研究人员就观察到攻击者利用CVE-2021-40539漏洞访问 ManageEngine ADSelfService Plus,攻击者使用的TTP如下:
- 将webshell写入磁盘以实现初始持久化;
- 混淆和解码文件或信息;
- 进一步操作以转储用户凭据 ;
- 仅使用已签名的 Windows 二进制文件进行后续操作;
- 根据需要添加/删除用户帐户;
- 窃取 Active Directory 数据库 ( NTDS.dit)或注册表配置单元的副本;
- 使用 Windows Management Instrumentation (WMI) 进行远程执行;
- 删除文件以从主机中移除指标;
- 使用netWindows 命令发现域帐户;
- 使用 Windows 实用程序收集和存档文件以进行渗漏;
- 使用自定义对称加密。
总结
警报中称,APT攻击者的目标是多个行业领域的学术机构、国防承包商和关键基础设施实体,包括运输、IT、制造、通信、物流和金融。非法获得的访问权限和信息可能会扰乱公司的正常运营,影响美国的多个领域。Zoho 于9月6日发布的ManageEngine ADSelfService Plus build 6114修复了 CVE-2021-40539。因此,FBI、CISA 和 CGCYBER 强烈敦促用户和管理员更新到 ADSelfService Plus build 6114。