04.12.2021 | Хакеры активно используют RCE-уязвимость в продукте Zoho для развертывания web-оболочек |
Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредили об активной эксплуатации критической уязвимости ( CVE-2021-44077 ) в продукте Zoho ManageEngine ServiceDesk Plus. Преступники используют уязвимость для развертывания web-оболочек и выполнения вредоносных действий. Уязвимость неавторизованного удаленного выполнения кода получила оценку в 9,8 балла по шкале CVSS. Проблема затрагивает версии ServiceDesk Plus до 11305 включительно. Ее эксплуатация позволяет злоумышленнику загружать исполняемые файлы, размещать web-оболочки и выполнять постэксплуатационные действия. Уязвимость связана с некорректной конфигурацией системы безопасности в ServiceDesk Plus. Компания Zoho устранила проблему в версиях ПО 11306 и выше. Эксплуатация CVE-2021-44077 является вторым этапом вредоносной кампании TiltedTemple, организованной предположительно связанной с КНР группировкой, которую Microsoft отслеживает как DEV-0322. Ранее преступники использовали проблему ( CVE-2021-40539 ) в решении Zoho для самостоятельного управления паролями и единого входа ManageEngine ADSelfService Plus. Преступники атаковали как минимум 11 организаций, согласно отчету команды Unit 42 компании Palo Alto Networks. «Злоумышленники расширили свое внимание за пределы ADSelfService Plus на другое уязвимое программное обеспечение. В частности, в период с 25 октября по 8 ноября нынешнего года преступник переключил внимание на несколько организаций, использующих другой продукт Zoho, известный как ManageEngine ServiceDesk Plus», — отметили специалисты. Постэксплуатационные действия включают установку загрузчика msiexec.exe на систему жертвы, который затем развертывает web-оболочку JSP под названием Godzilla для обеспечения персистентности на устройствах. В настоящее время в Сети существует более 4,7 тыс. установок ServiceDesk Plus, 2,9 тыс. (62%) из которых являются уязвимыми. Большая часть из них находится в США, Индии, России, Великобритании и Турции. |
Проверить безопасность сайта