Az FBI és a CISA is figyelmeztet, hogy államilag támogatott hackercsoportok 2021 augusztus eleje óta folyamatosan APT-támadásokat (fejlett, tartós támadások, általában információszerzési céllal) indítanak a ManageEngine SSO (single sign-on) és jelszókezelő megoldása ellen.

A CVE-2021-40539 számon nyilvántartott sérülékenységet a ManageEngine ADSelfService Plus termékében fedezték fel. A támadók kihasználva a biztonsági rést, a behatolást követően, rosszindulatú program - amely jelen esetben egy magát X509-es tanúsítványnak álcázó web shell - futtatásával át tudják venni az ellenőrzést a sebezhető rendszerek fölött.

A program képes kompromittálni a rendszergazdai hozzáféréseket, vagy oldalirányú kísérletekkel eltulajdonítani a rendszerleíró adatbázis vagy az Active Directory tartalmát.

Védekezési intézkedések

A ManageEngine tulajdonosa, a Zoho, 2021. szeptember 6-án kibocsátotta az ADSelfService Plus build 6114 javítóprogramot, amely elhárítja a problémát.

A hackercsoportok közben folyamatosan támadják a még nem „be nem foltozott”, vagy javított rendszereket, amelyek az ADSelfService-t használják.

Az FBI és a CISA egyaránt sürgetik az érintett szervezeteket, hogy futtassák a kiadott patch-et, és gondoskodjanak arról, hogy az ADSelfService Plus ne legyen hozzáférhető közvetlenül az internetről.

A ManageEngine hivatalos magyarországi disztribútoraként, egyben az informatikai biztonságot, mint közérdeket szem előtt tartó piaci szereplőként, a RelNet Kft. minden szervezetnek segít a probléma maradéktalan elhárításában.
Forduljanak hozzánk bizalommal!

Forrás:

https://us-cert.cisa.gov/ncas/alerts/aa21-259a