【安全资讯】FBI与CISA发布联合警告:APT组织正利用CVE-2021-44077漏洞发起攻击
引言
12月2日,联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 发布联合警告称,一个APT组织正利用Zoho ManageEngine ServiceDesk Plus中的CVE-2021-44077漏洞发起攻击。APT 攻击者的目标是关键基础设施行业,包括医疗保健、金融服务、电子和 IT 咨询行业。
简况
CVE-2021-44077是一个未经身份验证的远程代码执行 (RCE) 漏洞,影响所有 ServiceDesk Plus版本(包括版本 11305),评级为严重。 Zoho 于 2021 年 9 月 16 日发布了对此漏洞的更新,并于 2021 年 11 月 22 日发布了安全公告,提醒客户立即打补丁。但是,由于用户更新缓慢,目前且仍然容易受到攻击。
FBI 和 CISA 评估称,APT组织可以通过利用CVE-2021-44077漏洞上传可执行文件并释放 webshell,从而能够进行后利用活动,如破坏管理员凭据、横向移动以及泄露注册表配置单元和 Active Directory 文件等。联合警告如下:
攻击者的TTP包括:
- 将 webshell写入磁盘以进行初始持久化
- 混淆和反混淆/解码文件或信息
- 执行转储用户凭据的进一步操作
- 仅使用签名的 Windows 二进制文件执行后续操作
- 根据需要添加或删除用户帐户
- 窃取活动目录数据库或注册表配置单元的副本
- 使用 Windows Management Instrumentation (WMI) 进行远程执行
- 删除文件以从主机中移除指标
- 使用 net Windows 命令发现域帐户
- 使用 Windows 实用程序收集和存档文件以进行渗漏
- 使用自定义对称加密
成功利用该漏洞后,攻击者可以通过对 ServiceDesk REST API URL 的 POST 请求实现不受限制的文件上传,并上传一个可执行文件,此可执行文件用作释放器,并包含嵌入的编码Godzilla JAR文件。通过对不同 REST API URL 的第二个 POST 请求获得释放器的执行权,然后该 URL 将解码嵌入的 Godzilla JAR 文件并将其放到指定文件路径中。攻击者会运行清理脚本,旨在消除初始攻陷点的痕迹并隐藏漏洞利用与 webshell 之间的关系。
总结
FBI建议组织尽快修补其 Zoho 软件,并检查自 2021 年 10 月上旬以来在 ServiceDesk Plus 目录中创建的所有文件。