Aggiornamento: Sfruttamento APT della vulnerabilità di ManageEngine ADSelfService Plus.

Redazione RHC : 21 Novembre 2021 15:58

L’FBI, la CISA ed il cyber comando della Guardia Costiera(CGCYBER) hanno aggiornato l’avviso congiunto di cybersecurity pubblicato il 16 Settembre 2021 relativo allo sfruttamento attivo di una vulnerabilità di authentication bypass presente in Zoho ManageEngine ADSelfService Plus – una soluzione selfservice di gestione delle password e single sign-on.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’aggiornamento fornisce dettagli su una suite di strumenti utilizzati dagli attori APT per portare a termine questa campagna:

• Dropper: Un trojan dropper che rilascia la webshell di Godzilla su un sistema
• Godzilla: Una webshell in lingua cinese
• NGLite: Un trojan backdoor scritto in Go
• KdcSponge: Uno strumento che prende di mira le API non documentate nell’implementazione di Microsoft Kerberos con l’obiettivo di esfiltrare le credenziali

Nota: L’FBI, la CISA ed il CGCYBER non possono confermare che la CVE-2021-40539 sia la sola vulnerabilità che gli attori APT stiano sfruttando come parte di quest’attività, quindi è assolutamente fondamentale che i difensori della rete si focalizzino sul rilevamento degli strumenti sopra elencati così come sui vettori di accesso iniziali.

Inoltre, la CISA incoraggia le organizzazioni a rivedere l’aggiornamento del 19 Novembre ed applicare al più presto le mitigazioni consigliate, oltre a consigliare la lettura dei post pertinenti su Palo Alto Networks, Microsoft ed IBM Security Intelligence.

Fonte:

https://us-cert.cisa.gov/ncas/current-activity/2021/11/19/updated-apt-exploitation-manageengine-adselfservice-plus

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli