FBI/CISA 勧告:Zoho の深刻な脆弱性 CVE-2021-40539 が狙われている

FBI and CISA warn of state hackers exploiting critical Zoho bug

2021/09/16 BleepingComputer — 今日、FBI/ CISA/Coast Guard Cyber Command (CGCYBER) は、国家に支援された APT (Advanced Persistent Threat) グループが、2021年8月上旬以降、Zoho のシングル・サインオンおよびパスワード管理ソリューションにおける、深刻な欠陥を積極的に悪用していると警告した。

Zoho の顧客リストには、Apple/Intel/Nike/PayPal/HBO などの、Fortune 500 に含まれる数多くの企業が名を連ねている。この、CVE-2021-40539 として追跡されている脆弱性は、Zoho ManageEngine ADSelfService Plusソフトウェアで発見されたものであり、悪用に成功した攻撃者は、脆弱なシステムを乗っ取ることも可能だ。

重要インフラを狙った攻撃も

今回の、共同セキュリティ勧告は、先週に CISA が発表した警告に続くものであり、CVE-2021-40539 を利用した攻撃は、侵害されたシステム上でのリモート操作により、悪意のコードが実行される可能性があると警告している。

共同セキュリティ勧告は、「ManageEngine ADSelfService Plus の脆弱性が悪用されると、このソフトウェアを使用している重要インフラ企業や、米国内の防衛関連企業、学術機関などの団体に深刻なリスクをもたらされる。この脆弱性の悪用に成功した攻撃者は、Web シェルを設置することができ、管理者資格の侵害や、横方向への移動、レジストリ・ハイブや Active Directory ファイルの流出などの、活動を行うことができるようになる」と指摘している。

CVE-2021-40539 の悪用されたインシデントとしては、攻撃者が x509 証明書を装った JavaServer Pages (JSP) の Web シェルを展開する様子が確認されている。この Web シェルは、その後に、Windows Management Instrumentation (WMI) を介して横方向への移動に使用され、ドメイン・コントローラにアクセスし、NTDS.dit と SECURITY/SYSTEM のレジストリ・ハイブをダンプする。

これまでのところ、一連の攻撃の背後にある APT グループは、学術機関や防衛関連企業から、重要インフラ事業体 (輸送/IT/製造/通信/物流/金融など) まで、幅広い分野を標的にしている。

緩和策

9月6日に Zoho は、脆弱性 CVE-2021-40539 を修正した、Zoho ManageEngine ADSelfService Plus build 6114 をリリースした。その後のセキュリティ通知で、同社は、この脆弱性がワイルドに悪用されている兆候に、気づいていると付け加えている。FBI/CISA/CGCYBER は、さまざまな組織に対して、ADSelfService Plus Build 6114 アップデートを直ちに適用し、ADSelfService Plus がインターネットから直接アクセスできないようにすべきだと勧告している。

この共同セキュリティ勧告は、「FBI/CISA/CGCYBER は、NTDS.dit ファイルが侵害された形跡が見つかった場合の対応として、ドメイン全体のパスワード・リセットに加えて、Kerberos Ticket Granting Ticket (TGT) パスワード・リセットを強く推奨する」と付け加えている。ManageEngineADSelfService Plus に関連する悪意の行為を発見した場合は、直ちに CISA または FBI にインシデントとして報告することを推奨する。

9月9日にポストした、「Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用」も、かなり深刻な状況を紹介していましたが、この記事を見ると、APT グループが軍事産業や重要インフラを狙っているようです。FBI/CISA/CGCYBER が名前を連ねること自体、事の大きさを感じてしまいます。

%d bloggers like this: