CISA警告积极利用的Zoho ManageEngine ServiceDesk关键漏洞

美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）警告称，Zoho的ManageEngine ServiceDesk Plus产品中的一个新修补缺陷将被积极利用，以部署网络外壳并执行一系列恶意活动。

该问题被追踪为CVE-2021-44077（CVSS分数：9.8），与未经验证的远程代码执行漏洞有关，该漏洞影响ServiceDesk Plus版本（包括11305），如果未修复，“允许攻击者上载可执行文件，并放置网络外壳，以启用攻击后活动，例如泄露管理员凭据、进行横向移动，以及过滤注册表配置单元和Active Directory文件，”CISA说。

“ServiceDesk Plus中的安全配置错误导致了该漏洞，”Zoho在11月22日发布的独立咨询中指出。“此漏洞可让对手执行任意代码并执行任何后续攻击。”Zooo在2021年9月16日的版本11306和上文中提到了同样的缺陷。

CVE-2021-44077也是同一个威胁参与者利用的第二个漏洞，之前发现该漏洞利用Zoho的自助密码管理和单点登录解决方案ManageEngine ADSelfService Plus（CVE-2021-40539）中的一个安全缺陷，危害至少11个组织，根据Palo Alto Networks的42单元威胁情报小组发布的一份新报告。

第42单元的研究人员罗伯特·法尔科内和彼得·雷纳尔说：“威胁参与者将注意力从ADSelfService Plus扩展到了其他易受攻击的软件。”。“最值得注意的是，在10月25日至11月8日期间，这位演员将注意力转移到了几个运行不同Zoho产品的组织，该产品名为ManageEngine ServiceDesk Plus。”

据信，这些攻击是由微软以“DEV-0322”为名追踪的“持久且坚定的APT参与者”策划的。微软称，这是一个新兴的威胁集群，目前正在中国境外运营，此前曾观察到该集群利用SolarWinds Serv-U托管文件传输服务中的一个零日漏洞进行攻击年第42单元正在监控组合活动，作为倾斜模板“运动。

成功妥协后的攻击后活动包括参与者将一个新的滴管（“msiexec.exe”）上传到受害者系统，然后受害者系统部署名为“哥斯拉”的中文JSP web shell，以在这些机器中建立持久性，这与针对ADSelfService软件使用的类似策略相呼应。

第42单元发现，目前全球有4700多个面向互联网的ServiceDesk Plus实例，其中2900个（或62%）跨美国、印度、俄罗斯、英国和土耳其被评估为易受攻击。

在过去的三个月里，至少有两个组织使用ManageEngine ServiceDesk Plus漏洞受到威胁，随着APT集团加大对科技、能源、交通、医疗、教育、金融和国防行业的侦察活动，这个数字预计还会进一步攀升。

Zoho则提供了一个漏洞检测工具，以帮助客户识别其内部安装是否受到了破坏，此外还建议用户“立即升级到ServiceDesk Plus（12001）的最新版本”，以减轻漏洞带来的任何潜在风险。