APT組織正在積極利用 Zoho登錄和密碼管理中的關鍵漏洞

Zoho 的客戶名單包括"五分之三的財富 500 強公司"，包括蘋果、英特爾、耐克、PayPal、HBO 等等。跟蹤為 CVE-2021-40539 的漏洞在 Zoho 管理工程 ADSelfservice Plus 軟件中被發現，它允許攻擊者在成功利用后接管易受攻擊的系統。此前，CISA上周發布了一項警告，同時提醒CVE-2021-40539，這可能使威脅行為者能夠在受損系統上遠程執行惡意代碼。聯合通報警告稱："對管理工程 ADSelfservice Plus 的開發對關鍵基礎設施公司、美國批準的國防承包商、學術機構以及使用該軟件的其他實體構成嚴重風險。成功利用漏洞使攻擊者能夠放置網絡外殼，使對手能夠進行開發后活動，例如泄露管理員憑據、進行橫向移動以及滲透注冊蜂巢和活動目錄文件。在使用 CVE-2021-40539 漏洞的事件中，觀察到攻擊者部署了偽裝成 x509 證書的 JavaServer Pages （JSP） 網絡外殼。此網絡外殼隨后用于通過 Windows 管理儀器 （WMI） 進行橫向移動，以訪問域控制器并轉儲 NTDS.dit 和安全/系統注冊蜂巢。迄今為止，這些襲擊背后的 APT 組織針對的是從學術機構和國防承包商到關鍵基礎設施實體（如運輸、IT、制造、通信、物流和金融）等眾多部門。