AccueilsécuritéLes pirates exploitent un nouvel exploit de Zoho ServiceDesk

Les pirates exploitent un nouvel exploit de Zoho ServiceDesk

Une équipe de pirates informatiques sophistiqués exploitant un exploit dans le logiciel Zoho ManageEngine ADSelfService Plus s'est tournée vers l'exploitation d'une vulnérabilité différente dans un autre produit Zoho.

Bureau de service Zoho

Voir également: Zoho corrige un bug exploitable dans ADSelfService Plus

L'équipe exploite un exploit d'exécution de code à distance sans authentification dans les versions Zoho Service Desk Plus 11305 et plus anciens, actuellement appelés CVE-2021-44077.

Zoho a traité le défaut RCE le 16 septembre 2021 et le 22 novembre 2021, la société a publié un alerte de sécurité pour avertir les clients de l'exploitation active. Cependant, les utilisateurs ont mis du temps à mettre à jour leurs systèmes et sont restés vulnérables aux attaques.

Selon un rapport de l'Unité 42 de Palo Alto Networks, il n'y a aucune preuve publique d'exploitation de CVE-2021-44077, suggérant que l'équipe APT qui l'utilise a développé lui-même le code d'exploitation et l'utilise exclusivement pour le moment.

Voir également: FBI et CISA : des hackers exploitent un bug critique de Zoho

Les pirates exploitent l'exploit en envoyant deux requêtes à l'API REST, une pour télécharger un fichier exécutable (msiexec.exe) et une pour démarrer la charge utile.

Hackers

Ce processus est effectué à distance et ne nécessite pas d'authentification sur le serveur ServiceDesk vulnérable.

Lorsque ServiceDesk exécute la charge utile, un mutex est créé et un module Java codé en dur est écrit dans "../lib/tomcat/tomcat-postgres.jar, Une variante du shell Web "Godzilla" qui se charge dans ServiceDesk après avoir tué "java". .exe 'et redémarre le processus.

Selon les chercheurs, l'équipe a utilisé la même clé secrète Webshell qui est apparue dans la campagne ADSelfService Plus, mais cette fois, elle est installée en tant que filtre. Servlet Java Apache Tomcat.

Voir également: Les hackers chinois utilisent Cisco, Citrix, Zoho Exploits et attaquent!

Palo Alto Networks a découvert des preuves pouvant lier ces attaques à l'équipe chinoise APT27 (Emissary Panda), qui a déjà développé Godzilla contre des cibles de premier plan, mais les preuves sont insuffisantes pour des performances claires.

Il est conseillé aux organisations de réparer le logiciel Zoho dès que possible et de vérifier tous les fichiers qui ont été créés dans les répertoires ServiceDesk Plus depuis début octobre 2021.

Absent Miahttps://www.secnews.gr
Être soi-même, dans un monde qui essaie constamment de vous changer, est votre plus grande réussite
spot_img

NOUVELLES EN DIRECT