FBI, CISA, CGCYBER, Zoho 취약점 악용하는 국가 후원 APT 그룹에 대한 보안 권고 발표

 

 

FBI, CISA, and CGCYBER warn of nation-state actors exploiting CVE-2021-40539 Zoho bug

미국의 FBI, CISA, Coast Guard Cyber ​​Command(CGCYBER)는 보안 권고를 발표하여 국가 APT 그룹이 Zoho ManageEngine ADSelfService Plus 소프트웨어에서 CVE-2021-40539로 추적되는 치명적인 취약점을 적극적으로 악용하고 있다고 경고했습니다. 

ManageEngine ADSelfService Plus는 셀프서비스 암호 관리 및 싱글 사인온 솔루션입니다. 

ManageEngine ADSelfService Plus의 취약점을 악용하는 공격은 소프트웨어를 사용하는 중요 인프라 회사, 미국 승인 방위 계약자, 학술 기관 등을 타깃으로 합니다. 

CVE-2021-40539 취약점은 ADSelfService Plus의 REST API URL에서 발견되었으며 원격 코드 실행(RCE)으로 이어질 수 있습니다. 

이 취약점을 통해 공격자는 특수하게 조작된 요청을 보내 REST API 엔드포인트를 통해 제품에 무단으로 액세스할 수 있습니다. 

공격자는 후속 공격을 수행하여 RCE를 발생시킬 수 있습니다. 공격자는 웹셸을 배치하는 취약점을 유발할 수 있으며, 이를 통해 관리자 자격 증명 손상, 측면 이동 수행, 레지스트리 하이브 및 Active Directory 파일 유출과 같은 악용 후 활동을 수행할 수 있습니다.

ManageEngine ADSelfService Plus가 감염되면 공격자는 x509 인증서로 가장하는 JSP(JavaServer Pages) 웹셸이 포함된 zip 아카이브를 업로드합니다. 

초기 공격 후 JSP 웹셸은 /help/admin-guide/Reports/ReportGenerate.jsp에서 액세스할 수 있습니다. 그다음 공격자는 WMI(Windows Management Instrumentation)를 사용하여 측면 이동을 시도하고, 도메인 컨트롤러에 액세스하고, NTDS.dit 및 SECURITY/SYSTEM 레지스트리 하이브를 덤프합니다.

9월 초 Zoho는 CVE-2021-40539로 추적되는 인증 우회 취약점을 해결하기 위한 보안 패치를 출시했습니다. 

이 취약점은 ADSelfService Plus 6113 릴리스 및 이전 버전에 영향을 미치며, 이 취약점은 빌드 6114 이상의 릴리스에서 해결되었습니다. 

FBI, CISA, CGCYBER는 NTDS.dit 파일이 감염되었다는 표시가 발견되면 도메인 전체 비밀번호 및 이중 Kerberos TGT(Ticket Granting Ticket) 비밀번호를 재설정할 것을 강력히 권장했습니다.

 

 

출처:
https://securityaffairs.co/wordpress/122293/security/cve-2021-40539-zoho-bug-attacks.html