【安全资讯】FBI与CISA发布联合警告：APT组织正利用CVE-2021-44077漏洞发起攻击

引言

12月2日，联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 发布联合警告称，一个APT组织正利用Zoho ManageEngine ServiceDesk Plus中的CVE-2021-44077漏洞发起攻击。APT 攻击者的目标是关键基础设施行业，包括医疗保健、金融服务、电子和 IT 咨询行业。

简况

CVE-2021-44077是一个未经身份验证的远程代码执行 (RCE) 漏洞，影响所有 ServiceDesk Plus版本（包括版本 11305），评级为严重。 Zoho 于 2021 年 9 月 16 日发布了对此漏洞的更新，并于 2021 年 11 月 22 日发布了安全公告，提醒客户立即打补丁。但是，由于用户更新缓慢，目前且仍然容易受到攻击。

FBI 和 CISA 评估称，APT组织可以通过利用CVE-2021-44077漏洞上传可执行文件并释放 webshell，从而能够进行后利用活动，如破坏管理员凭据、横向移动以及泄露注册表配置单元和 Active Directory 文件等。联合警告如下：

攻击者的TTP包括：

• 将 webshell写入磁盘以进行初始持久化
• 混淆和反混淆/解码文件或信息
• 执行转储用户凭据的进一步操作
• 仅使用签名的 Windows 二进制文件执行后续操作
• 根据需要添加或删除用户帐户
• 窃取活动目录数据库或注册表配置单元的副本
• 使用 Windows Management Instrumentation (WMI) 进行远程执行
• 删除文件以从主机中移除指标
• 使用 net Windows 命令发现域帐户
• 使用 Windows 实用程序收集和存档文件以进行渗漏
• 使用自定义对称加密

成功利用该漏洞后，攻击者可以通过对 ServiceDesk REST API URL 的 POST 请求实现不受限制的文件上传，并上传一个可执行文件，此可执行文件用作释放器，并包含嵌入的编码Godzilla JAR文件。通过对不同 REST API URL 的第二个 POST 请求获得释放器的执行权，然后该 URL 将解码嵌入的 Godzilla JAR 文件并将其放到指定文件路径中。攻击者会运行清理脚本，旨在消除初始攻陷点的痕迹并隐藏漏洞利用与 webshell 之间的关系。

总结

FBI建议组织尽快修补其 Zoho 软件，并检查自 2021 年 10 月上旬以来在 ServiceDesk Plus 目录中创建的所有文件。