L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du ministère américain de la sécurité intérieure, ainsi que le Federal Bureau of Investigation (FBI) et le US Coast Guard Cyber Command (CGCYBER), signalent une vulnérabilité critique dans le système d’authentification unique de l’entreprise indienne de logiciels Zoho. Le composant concerné est ADSelfService Plus du système logiciel ManageEngine de Zoho. Selon la CISA, le logiciel vulnérable est utilisé par un grand nombre d’organisations, dont des universités et des entreprises de défense ayant reçu l’autorisation du gouvernement américain.
Sommaire
Le cauchemar de tout administrateur
La vulnérabilité (CVE-2021-40539) est jugée critique avec un score CVSS de 9,8 (sur un maximum de 10 points). Les attaquants peuvent abuser de cette faille pour contourner la connexion au logiciel et exécuter un code malveillant arbitraire depuis le réseau public via l’API REST. Ceci est particulièrement spectaculaire car ADSelfService Plus gère les données d’accès aux comptes cloud et aux données Windows Active Directory d’une entreprise. Cette faille est donc parfaitement adaptée pour accéder aux systèmes d’une organisation et, à partir de là, se déplacer dans toutes les zones du réseau – ce que l’on appelle le mouvement latéral de l’attaquant.
Et ce sont justement de telles attaques que CISA, FBI et CGCYBER ont déjà observées. Les autorités américaines demandent donc instamment aux entreprises et organisations concernées de sécuriser toute installation d’ADSelfService Plus le plus rapidement possible. Zoho a publié une mise à jour correspondante (Security Fix 6114), que les administrateurs doivent installer dès que possible – s’ils ne l’ont pas déjà fait.
Les attaques peuvent être difficiles à détecter
Étant donné que les attaquants peuvent obtenir des identifiants d’administration pour tous les types de systèmes du réseau organisationnel, y compris les PC individuels du réseau, en abusant de la vulnérabilité, le travail de nettoyage après l’application du correctif dans ManageEgine est loin d’être terminé. Les administrateurs doivent également s’assurer que les attaquants n’ont pas déjà infiltré le réseau et pris pied sur d’autres systèmes. Comme, selon le CISA, la vulnérabilité est activement exploitée par des groupes APT bien organisés, qui sont généralement très habiles à dissimuler les traces de leurs attaques, il pourrait être difficile de retrouver les attaquants dans son propre réseau.
Pour exploiter cette vulnérabilité, les attaquants chargent actuellement un shell web déguisé en certificat X.509 sur le système cible via une API REST. Le prétendu certificat est en fait des Java Server Pages (JSP) dans une archive ZIP. Les accès ultérieurs à d’autres points de terminaison de l’API entraînent ensuite l’exécution du shell Web par le système, ce qui permet à l’attaquant d’accéder au système. De là, l’attaquant utilise ensuite l’instrumentation de gestion Windows (WMI) pour accéder au contrôleur de domaine du réseau.
Indicateurs de compromis
CISA, FBI et CGCYBER recommandent de surveiller les méthodes d’attaque suivantes sur le net :
- wmic.exe est utilisé pour passer d’un système à l’autre sur le réseau et exécuter un code malveillant.
- Les informations d’identification de Windows en texte clair sont lues à partir du système ADSelfService-Plus détourné.
- pg_dump.exe est utilisé pour lire les bases de données de ManageEngine.
- Données de NTDS.dit et du nœud de registre
SECURITY/SYSTEM/NTUSERsont lus - Les données collectées dans le réseau sont ensuite exfiltrées via des shells web.
- Les transactions douteuses sont dissimulées en utilisant des infrastructures américaines déjà compromises et d’apparence légitime.
- Les attaquants filtrent et suppriment sélectivement les entrées de journal qui pourraient les trahir.
Outre la mise à jour du service ADSelfService-Plus et une vigilance accrue, les autorités américaines recommandent de changer tous les mots de passe du domaine et de réinitialiser les TGT (Ticket Granting Tickets) Kerberos si le fichier NTDS.dit a été consulté.
(fab)