Un groupe de menaces persistantes avancées (APT) qui exploitait une faille dans le logiciel Zoho ManageEngine ADSelfService Plus a pivoté pour tirer parti d’une vulnérabilité différente dans un autre produit Zoho.
L’acteur a été vu en train d’exploiter un problème d’exécution de code à distance non authentifié dans les versions 11305 et antérieures de Zoho ServiceDesk Plus, actuellement suivi comme CVE-2021-44077.
Source : Unité42
Zoho a corrigé la faille RCE le 16 septembre 2021 et le 22 novembre 2021, la société a publié un avis de sécurité pour alerter les clients d’une exploitation active. Cependant, les utilisateurs ont mis du temps à se mettre à jour et sont restés vulnérables aux attaques.
Selon un rapport de l’Unité42 de Palo Alto Networks, il n’y a pas d’exploit public de preuve de concept pour CVE-2021-44077, ce qui suggère que le groupe APT qui l’exploite a développé le code d’exploit lui-même et l’utilise exclusivement pour le moment.
Exploiter le RCE pour supprimer le webshell ‘Godzilla’
Les acteurs exploitent la faille en envoyant deux requêtes à l’API REST, une pour télécharger un exécutable (msiexec.exe) et une pour lancer la charge utile.
Ce processus est effectué à distance et ne nécessite aucune authentification auprès du serveur ServiceDesk vulnérable.
Lorsque ServiceDesk exécute la charge utile, un mutex est créé et un module Java codé en dur est écrit dans « ../lib/tomcat/tomcat-postgres.jar », une variante du webshell « Godzilla » qui est chargé dans ServiceDesk après avoir tué « java .exe’ et redémarrer le processus.
Selon les chercheurs, l’acteur a utilisé la même clé secrète Webshell que celle vue dans la campagne ADSelfService Plus, mais cette fois, elle s’installe en tant que filtre de servlet Java Apache Tomcat.
Source : Unité42
« Le fait que ce Webshell Godzilla soit installé en tant que filtre signifie qu’il n’y a pas d’URL spécifique à laquelle l’acteur enverra ses demandes lors de l’interaction avec le Webshell et le filtre Webshell Godzilla peut également contourner un filtre de sécurité présent dans ServiceDesk Plus pour arrêter l’accès aux fichiers webshell » – lit L’analyse de Unit42
« Il semble que l’acteur de la menace ait utilisé un code accessible au public appelé tomcat-backdoor pour créer le filtre, puis y a ajouté un webshell Godzilla modifié », notent les chercheurs.
Palo Alto Networks a vu des preuves qui pourraient relier ces attaques au groupe chinois APT27 (Emissary Panda), qui a déjà déployé Godzilla contre des cibles de premier plan, mais les indices sont insuffisants pour une attribution claire.
Il est fortement recommandé aux organisations de corriger leur logiciel Zoho dès que possible et d’examiner tous les fichiers créés dans les répertoires ServiceDesk Plus depuis début octobre 2021.
Source : Unité42
À l’heure actuelle, les analyses de réseau révèlent plus de 600 systèmes vulnérables aux États-Unis et 2 100 autres en Inde, en Russie, en Grande-Bretagne, en Turquie et dans d’autres.
Bon nombre de ces déploiements vulnérables se trouvent dans les systèmes gouvernementaux, les universités, les organisations de soins de santé et d’autres entités critiques.