Le Federal Bureau of Investigation (FBI) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) mettent en garde contre l’exploitation active d’une faille récemment corrigée dans le produit ManageEngine ServiceDesk Plus de Zoho pour déployer des shells Web et effectuer un éventail d’activités malveillantes.
Suivi comme CVE-2021-44077 (score CVSS : 9,8), le problème est lié à une vulnérabilité d’exécution de code à distance non authentifiée affectant les versions ServiceDesk Plus jusqu’à 11305 incluse qui, si elle n’est pas corrigée, « permet à un attaquant de télécharger des fichiers exécutables et de placer des shells Web qui permettent la post-exploitation telles que la compromission des informations d’identification de l’administrateur, la conduite de mouvements latéraux et l’exfiltration de ruches de registre et de fichiers Active Directory », CISA mentionné.
« Une mauvaise configuration de la sécurité dans ServiceDesk Plus a conduit à la vulnérabilité », Zoho c’est noté dans un avis indépendant publié le 22 novembre. « Cette vulnérabilité peut permettre à un adversaire d’exécuter du code arbitraire et de mener toute attaque ultérieure. » Zoho adressé la même faille dans les versions 11306 et supérieures le 16 septembre 2021.
CVE-2021-44077 est également la deuxième faille exploitée par le même acteur de la menace qui exploitait auparavant une faille de sécurité dans la solution de gestion des mots de passe en libre-service et d’authentification unique de Zoho connue sous le nom de ManageEngine ADSelfService Plus (CVE-2021-40539 ) de compromettre au moins 11 organisations, selon un nouveau rapport publié par l’équipe de renseignement sur les menaces de l’Unité 42 de Palo Alto Networks.
« L’acteur menaçant s’étend[ed] son objectif au-delà d’ADSelfService Plus vers d’autres logiciels vulnérables », les chercheurs de l’Unité 42, Robert Falcone et Peter Renals mentionné. « Plus particulièrement, entre le 25 octobre et le 8 novembre, l’acteur a attiré l’attention sur plusieurs organisations exécutant un produit Zoho différent connu sous le nom de ManageEngine ServiceDesk Plus. »
Les attaques seraient orchestrées par un « acteur APT persistant et déterminé » suivi par Microsoft sous le surnom de « DEV-0322 », un cluster de menaces émergentes qui, selon le géant de la technologie, opère depuis la Chine et a déjà été observé en train d’exploiter un faille zero-day dans le service de transfert de fichiers géré SolarWinds Serv-U plus tôt cette année. L’unité 42 surveille l’activité combinée en tant que « Temple incliné » campagne.
Les activités de post-exploitation suite à un compromis réussi impliquent que l’acteur télécharge un nouveau compte-gouttes (« msiexec.exe ») sur les systèmes victimes, qui déploie ensuite le shell Web JSP en chinois nommé « Godzilla » pour établir la persistance dans ces machines, faisant écho à des tactiques similaires utilisé contre le logiciel ADSelfService.
L’Unité 42 a identifié qu’il existe actuellement plus de 4 700 instances de ServiceDesk Plus accessibles sur Internet dans le monde, dont 2 900 (ou 62 %) aux États-Unis, en Inde, en Russie, en Grande-Bretagne et en Turquie sont considérées comme vulnérables à l’exploitation.
Au cours des trois derniers mois, au moins deux organisations ont été compromises à l’aide de la faille ManageEngine ServiceDesk Plus, un nombre qui devrait encore augmenter à mesure que le groupe APT intensifie ses activités de reconnaissance contre la technologie, l’énergie, les transports, la santé, l’éducation, la finance et industriels de la défense.
Zoho, pour sa part, a mis à disposition un outil de détection d’exploit pour aider les clients à identifier si leurs installations sur site ont été compromises, en plus de recommander aux utilisateurs de « mettre à niveau immédiatement vers la dernière version de ServiceDesk Plus (12001) » afin d’atténuer tout risque potentiel d’exploitation.