Des pirates d’État exploitent le nouveau zero-day de Zoho depuis octobre

FBI: State hackers exploiting new Zoho zero-day since October

Le Federal Bureau of Investigation (FBI) a déclaré qu’une vulnérabilité zero-day dans ManageEngine Desktop Central de Zoho était activement exploitée par des groupes de piratage soutenus par l’État (également appelés APT ou menaces persistantes avancées) depuis au moins octobre.

« Depuis au moins fin octobre 2021, les acteurs de l’APT exploitent activement un zero-day, désormais identifié comme CVE-2021-44515, sur les serveurs ManageEngine Desktop Central », a déclaré la Cyber ​​Division du FBI. [PDF].

« Les acteurs APT ont été observés en train de compromettre les serveurs Desktop Central, de supprimer un shell Web qui remplace une fonction légitime de Desktop Central, de télécharger des outils de post-exploitation, d’énumérer les utilisateurs et les groupes de domaine, d’effectuer une reconnaissance du réseau, de tenter un mouvement latéral et de vider les informations d’identification. »

La faille de sécurité, corrigée par Zoho début décembre, est une vulnérabilité de contournement d’authentification critique que les attaquants pourraient exploiter pour exécuter du code arbitraire sur des serveurs Desktop Central vulnérables.

Les clients avertis de patcher leurs serveurs

Après avoir corrigé la vulnérabilité, la société a également averti les clients des tentatives d’exploitation en cours, les exhortant à déployer immédiatement les mises à jour de sécurité pour bloquer les attaques entrantes.

« Comme nous remarquons des indications d’exploitation de cette vulnérabilité, nous conseillons vivement aux clients de mettre à jour leurs installations vers la dernière version dès que possible », a déclaré Zoho.

Pour détecter si votre serveur a été violé à l’aide de cette faille de sécurité, vous pouvez utiliser l’outil de détection d’exploits de Zoho et suivre les étapes détaillées ici.

La société conseille de sauvegarder les données critiques de l’entreprise, de déconnecter les systèmes réseau impactés, de formater tous les serveurs compromis, restauration Desktop Central et mise à jour vers la dernière version.

Si des signes de compromission sont détectés, Zoho recommande d’initier une réinitialisation de mot de passe « pour tous les services, comptes, Active Directory, etc. auxquels on a accédé à partir de la machine installée du service », ainsi que les mots de passe d’administrateur Active Directory.

Selon Shodan, il y a plus de 2 900 instances Acronis Desktop Central exposés aux attaques entrantes.

CVE-2021-44515 impact
Serveurs Desktop Central exposés à Internet (EZpublish-france.fr)

Serveurs ManageEngine assiégés

Ces dernières années, les serveurs Zoho ManageEngine ont fait l’objet d’un ciblage constant, les instances Desktop Central, par exemple, ayant été piratées et l’accès à leurs réseaux vendu sur des forums de piratage depuis juillet 2020.

Entre août et octobre 2021, les installations de Zoho ManageEngine ont également été attaquées par des pirates informatiques d’États-nations utilisant des tactiques et des outils similaires à ceux employés par le groupe de piratage APT27 lié à la Chine.

Dans ces attaques, les acteurs de la menace ont concentré leurs efforts sur la brèche dans les réseaux des organisations d’infrastructures critiques dans le monde entier au cours de trois campagnes différentes.

Ils ont d’abord utilisé un exploit ADSelfService zero-day entre début août et mi-septembre, puis sont passés à un exploit AdSelfService n-day jusqu’à fin octobre, et sont passés à un ServiceDesk à partir du 25 octobre.

À la suite de ces campagnes, le FBI et la CISA ont publié des avis conjoints (1, 2) avertissant les acteurs APT exploitant ces failles de ManageEngine pour déposer des shells Web sur les réseaux d’organisations d’infrastructures critiques violées, y compris les secteurs de la santé, des services financiers, de l’électronique et du conseil informatique.