Zoho ManageEngine-Fehler weist aufwärts Risiken von Race to Patch hin

Eine Schwachstelle in einer Self-Tafelgeschirr-Passwortverwaltungs- und Single-Sign-On-Störungsbehebung, die von 11.000 Unternehmen verwendet wird, hat in mindestens neun Unternehmen aufwärts welcher ganzen Welt zu Netzwerkkompromittierungen geführt, welches die Risiken unterstreicht, dass die mit dem Netz verbundene Unterbau nicht schnell gepatcht werden kann.

Seitdem Zentrum September durchsucht eine Partie von Cyber-Angreifern dasjenige Netz nachdem potenziell anfälligen Servern, aufwärts denen dasjenige Verwaltungsprogramm ManageEngine ADSelfService Plus von Zoho zum Zurücksetzen des Kennworts umgesetzt wird, nachdem welcher Softwareentwickler und Cloud-Dienstleister am 6. September eine Sicherheitslücke durch Authentifizierungs-Bypass gepatcht hatte die Sicherheitsanfälligkeit kompromittiert, installierten sie zwei oder drei weitere Angriffstools, um den dauerhaften Zugriff aufwärts dasjenige Netzwerk aufrechtzuerhalten und Anmeldeinformationen vom Active Directory-Server zu zusammenschließen, erklärten Forscher von Palo Alto Networks in einer am 7. November veröffentlichten Untersuchung.

Jedes Unternehmen, dasjenige Zoho ManageEngine ADSelfService Plus verwendet, sollte nachsehen, ob keine Indikator pro eine Kompromittierung vorliegen, sagt Ryan Olson, Vice President of Threat Intelligence des Threat Intelligence-Teams welcher Unit 42 von Palo Alto Networks.

“Wenn Sie solange bis zu diesem Level kompromittiert wurden und Sie die Schwachstelle dann ohne Rest durch zwei teilbar gepatcht nach sich ziehen, stehlen sie schon nicht mehr da Passwörter von Ihrem Active Directory-Server”, sagt er. „Du denkst vielleicht, du hättest es säuberlich, gleichwohl du bist immer noch in vollem Besitzstand [indicators of compromise] In unserem Berichterstattung zu tun sein Sie eine vollständige[Vorfallreaktion'”erstellen”[incidentresponse'”

Der Angriff, der auf die Schwachstellen von Zoho ManageEngine abzielt, ist nur der neueste Angriff, der auf der Ausnutzung einer mit dem Internet verbundenen Schwachstelle beruht.

In den letzten drei Jahren haben sich Angreifer als Ausgangspunkt für Angriffe auf Schwachstellen in internetfähigen Virtual Private Networking (VPN)-Appliances und -Software konzentriert. Im März konzentrierten sich chinesische Bedrohungsgruppen auf vier Sicherheitsprobleme in Microsofts Exchange Server 2000, um Firmennetzwerke zu durchbrechen. Und im Juli nutzten russische und ukrainische Cyberkriminelle eine Zero-Day-Schwachstelle in Kaseya Virtual System Administrator (VSA)-Servern, um Dutzende von Unternehmen, darunter Managed Service Provider, zu kompromittieren, was zur Kompromittierung von bis zu 1.500 Organisationen führte.

Der Trend hat die Gefahr unterstrichen, beim Patchen für diese internetfähigen Systeme nicht den Überblick zu behalten, insbesondere da die Remote-Arbeit während der Coronavirus-Pandemie zugenommen hat und mehr Infrastruktur in die Cloud verlagert wird, wo sie über das öffentliche Internet zugänglich ist, sagt Olson .

„Wenn ein Angreifer eine neue Schwachstelle identifiziert und diese ausnutzen kann und die Leute nicht patchen, beginnen sie mit der Suche nach anfälligen Systemen, damit sie durch die offen gelassene Haustür gehen können“, sagt er. “Für jede dieser Anwendungen, die mit dem Internet verbunden sind, müssen Sie beim Patchen so viel auf dem Laufenden bleiben, weil sie für einen Angreifer eine wirklich schnelle Möglichkeit sind, Netzwerke auszunutzen und zu kompromittieren.”

Zoho hat die Authentifizierungs-Bypass-Schwachstelle ManangeEngine ADSelfService Plus (CVE-2021-40539) behoben und die Benutzer am 6. September benachrichtigt, aber innerhalb von 10 Tagen suchten Angreifer bereits nach den kritischen Sicherheitsproblemen, so eine Warnung des FBI, US-Küste Guard Cyber ​​Command (GCCYBER) und die Cybersecurity and Infrastructure Security Agency (CISA).

Mehr als 11.000 Instanzen der Serversoftware sind über das Internet zugänglich, und mindestens 370 Instanzen sind in den USA aktiv, so die Analyse von Palo Alto Networks.

Auf kompromittierten Systemen installierten die Angreifer schnell eine öffentlich verfügbare Web-Shell, bekannt als Godzilla, sowie – in einigen Fällen – ein Backdoor-Programm, NGLite, ein benutzerdefiniertes Backdoor-Programm, das in der Sprache Go geschrieben und auf GitHub verfügbar ist. Schließlich verwendeten die Angreifer ein neues Programm namens KdcSponge von Palo Alto Networks, das Anmeldeinformationen sammelt.

„KdcSponge erfasst den Domänennamen, den Benutzernamen und das Passwort in einer Datei auf dem System, die der Bedrohungsakteur dann manuell über den bestehenden Zugriff auf den Server exfiltrieren würde“, heißt es in der Analyse.

Während Zoho den ursprünglichen Patch vor zwei Monaten veröffentlichte, befürchtet Olson von Palo Alto Networks, dass viele Unternehmen immer noch anfällig sind. “Zoho hat das Problem behoben, aber Unternehmen müssen aktualisieren, um den Patch zu erhalten, und das macht nicht jeder sofort”, sagt er.

Unternehmen sollten das Problem beheben, falls dies noch nicht geschehen ist, und dann eine Untersuchung zur Reaktion auf Vorfälle durchführen, denn wenn sich die Angreifer bereits Zugriff verschafft haben, wird das Patchen das Netzwerk eines Unternehmens nicht sichern, sagt Olson.

Palo Alto Networks wird weiterhin nach dem Problem gesucht.

„Die Ergebnisse unterstreichen die Notwendigkeit für Unternehmen, schnell auf Offenlegungen kritischer Sicherheitslücken zu reagieren, indem sie Patches installieren und andere Vorkehrungen treffen, um Angriffe zu blockieren“, heißt es in einer Erklärung des Unternehmens. “Dies gilt insbesondere für hochwertige Ziele in kritischen Sektoren, die ständig auf Schwachstellen untersucht werden.”