ZOHO ManageEngine ADSelfService Plus 身份認證繞過漏洞

0x01 漏洞描述

ZOHO ManageEngine ADSelfService Plus是美國卓豪（ZOHO）公司發行的一套針對 Active Directory 和云應用程序的集成式自助密碼管理和單點登錄解決方案。

360漏洞云近日監測到Zoho ManageEngine ADSelfService Plus存在身份認證繞過漏洞（CVE-2021-40539），該漏洞與影響REST API UWL 的身份認證繞過漏洞有關，可導致遠程代碼執行。

CISA、美國聯邦調查局（FBI）和海岸警衛隊網絡司令部（CGCYBER）稱，該漏洞武器化的實際攻擊早在2021年8月就開始了。

Unit 42在對攻擊行動的調查中發現，在成功最初開發之后安裝了一個名為"哥斯拉"的中文JSP網絡外殼，部分受害者還感染了一種基于Golang的定制開源木馬，名為"NGLite"。

“NGLite 的作者將其描述為一個‘基于區塊鏈技術的匿名跨平臺遠程控制程序’，”研究人員 Robert Falcone、Jeff White 和 Peter Renals 解釋說，“它利用新型網絡 ( NKN ) 基礎設施進行命令和控制 (C2) 通信，理論上這會導致其用戶匿名。”

隨后，工具套件使攻擊者能夠運行命令并橫向移動到網絡上的其他系統，同時傳輸感興趣的文件。殺傷鏈中還部署了一種名為“KdcSponge”的新型密碼竊取程序，旨在從域控制器竊取憑據。

從9月17日開始，攻擊者已將至少370臺Zoho ManageEngine服務器作為攻擊目標。雖然威脅行為者的身份尚不清楚，但Unit 42表示，他觀察到攻擊者與Emissary Panda的戰術和工具之間存在相關性（又名APT27、TG-3390、BRONZE UNION、Iron Tiger或LuckyMouse）。

CISA表示："Zoho ManageEngine ADSelfService Plus網絡內與妥協指標相關的任何活動的組織應立即采取行動，此外，如果發現任何跡象顯示'NTDS.dit'文件遭到破壞，則建議"全域密碼重置和雙 Kerberos 票務授予票證 （TGT） 密碼重置"。

0x02 危害等級

中危：9.8

0x03 影響版本

ZOHO ManageEngine ADSelfService Plus-ZOHO

<6114

0x04 修復建議

廠商已發布升級修復該漏洞，用戶盡快更新至安全版本：ADSelfService Plus 6114。