Хакеры активно используют RCE-уязвимость в продукте Zoho для развертывания web-оболочек

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США предупредили об активной эксплуатации критической уязвимости ( CVE-2021-44077 ) в продукте Zoho ManageEngine ServiceDesk Plus. Преступники используют уязвимость для развертывания web-оболочек и выполнения вредоносных действий.

Уязвимость неавторизованного удаленного выполнения кода получила оценку в 9,8 балла по шкале CVSS. Проблема затрагивает версии ServiceDesk Plus до 11305 включительно. Ее эксплуатация позволяет злоумышленнику загружать исполняемые файлы, размещать web-оболочки и выполнять постэксплуатационные действия.

Уязвимость связана с некорректной конфигурацией системы безопасности в ServiceDesk Plus. Компания Zoho устранила проблему в версиях ПО 11306 и выше.

Эксплуатация CVE-2021-44077 является вторым этапом вредоносной кампании TiltedTemple, организованной предположительно связанной с КНР группировкой, которую Microsoft отслеживает как DEV-0322. Ранее преступники использовали проблему ( CVE-2021-40539 ) в решении Zoho для самостоятельного управления паролями и единого входа ManageEngine ADSelfService Plus. Преступники атаковали как минимум 11 организаций, согласно отчету команды Unit 42 компании Palo Alto Networks.

«Злоумышленники расширили свое внимание за пределы ADSelfService Plus на другое уязвимое программное обеспечение. В частности, в период с 25 октября по 8 ноября нынешнего года преступник переключил внимание на несколько организаций, использующих другой продукт Zoho, известный как ManageEngine ServiceDesk Plus», — отметили специалисты.

Постэксплуатационные действия включают установку загрузчика msiexec.exe на систему жертвы, который затем развертывает web-оболочку JSP под названием Godzilla для обеспечения персистентности на устройствах.

В настоящее время в Сети существует более 4,7 тыс. установок ServiceDesk Plus, 2,9 тыс. (62%) из которых являются уязвимыми. Большая часть из них находится в США, Индии, России, Великобритании и Турции.

Группировка DEV-0322 ранее уже пользовалась отсутствием надлежащих мер кибербезопасности. Американский производитель программного обеспечения SolarWinds, в декабре прошлого года пострадавший от масштабной атаки на цепочку поставок, не реализовал меры по предотвращению эксплуатации, что позволило злоумышленникам осуществить таргетированные кибератаки в июле нынешнего года. Речь идет о целенаправленных атаках с эксплуатацией уязвимости нулевого дня в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP. Основываясь на виктимологии, техниках, тактиках и процедурах, специалисты Microsoft Threat Intelligence Center (MSTIC), отнесли атаки на счет киберпреступной группировки , действующей с территории Китая.