Aggiornamento: Sfruttamento APT della vulnerabilità di ManageEngine ADSelfService Plus.

L’FBI, la CISA ed il cyber comando della Guardia Costiera(CGCYBER) hanno aggiornato l’avviso congiunto di cybersecurity pubblicato il 16 Settembre 2021 relativo allo sfruttamento attivo di una vulnerabilità di authentication bypass presente in Zoho ManageEngine ADSelfService Plus – una soluzione selfservice di gestione delle password e single sign-on.

L’aggiornamento fornisce dettagli su una suite di strumenti utilizzati dagli attori APT per portare a termine questa campagna:

• Dropper: Un trojan dropper che rilascia la webshell di Godzilla su un sistema
• Godzilla: Una webshell in lingua cinese
• NGLite: Un trojan backdoor scritto in Go
• KdcSponge: Uno strumento che prende di mira le API non documentate nell’implementazione di Microsoft Kerberos con l’obiettivo di esfiltrare le credenziali

Nota: L’FBI, la CISA ed il CGCYBER non possono confermare che la CVE-2021-40539 sia la sola vulnerabilità che gli attori APT stiano sfruttando come parte di quest’attività, quindi è assolutamente fondamentale che i difensori della rete si focalizzino sul rilevamento degli strumenti sopra elencati così come sui vettori di accesso iniziali.

Inoltre, la CISA incoraggia le organizzazioni a rivedere l’aggiornamento del 19 Novembre ed applicare al più presto le mitigazioni consigliate, oltre a consigliare la lettura dei post pertinenti su Palo Alto Networks, Microsoft ed IBM Security Intelligence.

Fonte:

https://us-cert.cisa.gov/ncas/current-activity/2021/11/19/updated-apt-exploitation-manageengine-adselfservice-plus

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research