速修复!CISA警告称 Zoho 服务器0day已遭在野利用
编译:代码卫士
该漏洞影响印度公司 Zoho 的密码管理和单点登录 (SSO) 解决方案 Zoho ManageEngine ADSelfService Plus。
Zoho 公司发布安全公告称,该0day是认证绕过漏洞,可经由 ADselfService Plus REST API URL 利用,可导致攻击者在底层 Zoho 服务器上执行恶意代码。CISA 表示,“远程攻击者可利用该漏洞控制受影响系统。”
安全公司 CrowdStrike 的首席情报分析师 Matt Dahl 表示,该 Zoho 0day 已遭在野攻击长达一周多的时间,甚至在 Confluence 服务器遭攻击之前就已开始。Dahl 指出这些攻击是定向攻击,很可能是由同一个威胁行动者执行的。他指出,“攻击者似乎具有清晰的目标,能够快速实施攻击并退出。“
目前尚未出现关于该漏洞的利用代码或技术报告讨论,说明威胁行动者是自行发现漏洞而非武器化公开代码。
企业和系统管理员可按照下述步骤调查自己的系统是否已遭攻陷:
在文件夹 “\ManageEngine\ADSelfService Plus\logs” 中搜索如下所列字符串的访问日志条目:
1、/RestAPI/LogonCustomization
2、/RestAPI/Connection
如在日志中发现上述任意一个条目,则说明安装已受影响。
截至本文写作之时,可从互联网访问超过1.1万台Zoho ManageEngine服务器。
这是今年第二个已遭在野利用的重大 Zoho ManageEngine 0day。第一个是 CVE-2020-10189,它被密币挖矿机、勒索团伙和 APT 团伙遭利用,而且NSA表示该漏洞是2020年最常被用于在服务器上植入 web shell的漏洞之一。
@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo
如下是本书相关讲解:
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
研究员拒绝提前通知,Zoho 匆忙修复一个严重的 0day
https://therecord.media/cisa-warns-of-zoho-server-zero-day-exploited-in-the-wild/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。