AccueilsécuritéFBI et CISA : des hackers exploitent un bug critique de Zoho

FBI et CISA : des hackers exploitent un bug critique de Zoho

Le FBI, la CISA et la Garde côtière (CGCYBER) ont averti aujourd'hui que les groupes de menaces persistantes (APT) soutenus par l'État exploitaient un bogue critique dans un système Zoho depuis début août 2021.

Voir également: Patch Tuesday de septembre 2021 : Microsoft corrige des bugs critiques

Zoho

La liste de clients de Zoho comprend "trois entreprises sur cinq du Fortune 500", dont Apple, Intel, Nike, PayPal, HBO et bien d'autres.

La vulnérabilité identifiée comme CVE-2021-40539 a été trouvée dans le logiciel Zoho ManageEngine ADSelfService Plus et permet aux attaquants de "prendre le contrôle" des systèmes vulnérables après une exploitation réussie.

Voir également: Netgear : corrige de graves bogues dans plus de douze commutateurs intelligents

Les attaques ciblent également les organisations d'infrastructures critiques

Cet avis fait suite à un avertissement antérieur émis par la CISA la semaine dernière, qui mettait en garde contre le CVE-2021-40539 qui pourrait permettre aux opérateurs menaçants d'exécuter code malicieux à distance dans les systèmes violés.

Dans les cas où les exploits CVE-2021-40539 ont été utilisés, des attaquants ont été observés en train de développer un shell Web JavaServer Pages (JSP) camouflé comme un certificat x509.

Ce shell Web est ensuite utilisé pour la navigation côte à côte via Windows Management Instrumentation (WMI) pour accéder aux contrôleurs de domaine et rejeter les ruches de registre NTDS.dit et SECURITY / SYSTEM.

Jusqu'à présent, les équipes de l'APT à l'origine de ces attaques ont ciblé un large éventail de domaines, des universités et des sous-traitants de la défense aux acteurs essentiels.

Voir également: Un bug de l'application Google sur Android crée un problème d'appel

Mesures d'atténuation

Zoho a publié Zoho ManageEngine ADSelfService Plus build 6114, qui a corrigé la vulnérabilité CVE-2021-40539 le 6 septembre.

Dans une alerte de sécurité ultérieure, la société a ajouté qu'elle "observe des signes d'exploitation de cette vulnérabilité".

Le FBI, la CISA et le CGCYBER exhortent les agences à mettre en œuvre immédiatement la mise à jour ADSelfService Plus build 6114 et à s'assurer qu'ADSelfService Plus n'est pas directement accessible depuis Internet.

Il est conseillé aux organisations qui détectent des logiciels malveillants liés à ManageEngineADSelfService Plus de les signaler immédiatement à la CISA ou au FBI.

Source d'information: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Soyez l'édition limitée.

NOUVELLES EN DIRECT