ZOHO ManageEngine ADSelfService Plus 身份认证绕过漏洞

0x01 漏洞描述

ZOHO ManageEngine ADSelfService Plus是美国卓豪（ZOHO）公司发行的一套针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。

360漏洞云近日监测到Zoho ManageEngine ADSelfService Plus存在身份认证绕过漏洞（CVE-2021-40539），该漏洞与影响REST API UWL 的身份认证绕过漏洞有关，可导致远程代码执行。

CISA、美国联邦调查局（FBI）和海岸警卫队网络司令部（CGCYBER）称，该漏洞武器化的实际攻击早在2021年8月就开始了。

Unit 42在对攻击行动的调查中发现，在成功最初开发之后安装了一个名为"哥斯拉"的中文JSP网络外壳，部分受害者还感染了一种基于Golang的定制开源木马，名为"NGLite"。

“NGLite 的作者将其描述为一个‘基于区块链技术的匿名跨平台远程控制程序’，”研究人员 Robert Falcone、Jeff White 和 Peter Renals 解释说，“它利用新型网络 ( NKN ) 基础设施进行命令和控制 (C2) 通信，理论上这会导致其用户匿名。”

随后，工具套件使攻击者能够运行命令并横向移动到网络上的其他系统，同时传输感兴趣的文件。杀伤链中还部署了一种名为“KdcSponge”的新型密码窃取程序，旨在从域控制器窃取凭据。

从9月17日开始，攻击者已将至少370台Zoho ManageEngine服务器作为攻击目标。虽然威胁行为者的身份尚不清楚，但Unit 42表示，他观察到攻击者与Emissary Panda的战术和工具之间存在相关性（又名APT27、TG-3390、BRONZE UNION、Iron Tiger或LuckyMouse）。

CISA表示："Zoho ManageEngine ADSelfService Plus网络内与妥协指标相关的任何活动的组织应立即采取行动，此外，如果发现任何迹象显示'NTDS.dit'文件遭到破坏，则建议"全域密码重置和双 Kerberos 票务授予票证 （TGT） 密码重置"。

0x02 危害等级

中危：9.8

0x03 影响版本

ZOHO ManageEngine ADSelfService Plus-ZOHO

<6114

0x04 修复建议

厂商已发布升级修复该漏洞，用户尽快更新至安全版本：ADSelfService Plus 6114。