更新：APT 利用 ManageEngine ADSelfService Plus 漏洞

原始發布日期：2021 年 11 月 19 日

聯邦調查局 (FBI)、CISA 和海岸警衛隊網絡司令部 (CGCYBER) 更新了 2021 年 9 月 16 日發布的聯合網絡安全公告 (CSA)，其中詳細介紹了身份驗證繞過漏洞 (CVE-2021- 40539) 在 Zoho ManageEngine ADSelfService Plus 中——自助式密碼管理和單點登錄解決方案。

該更新提供了有關 APT 參與者用於啟用此活動的一套工具的詳細信息：

• Dropper：一種在系統上釋放 Godzilla webshel​​l 的 dropper 木馬
• 哥斯拉：一個中文網頁外殼
• NGLite：用 Go 編寫的後門木馬
• KdcSponge：一種工具，針對 Microsoft 的 Kerberos 實施中未記錄的 API 進行憑據洩露

注意：FBI、CISA 和 CGCYBER 無法確認 CVE-2021-40539 是 APT 參與者在此活動中利用的唯一漏洞，因此網絡防御者除了初始訪問向量外，還應重點檢測上面列出的工具。 .

CISA 鼓勵組織審查 11 月 19 日更新的更新並應用建議的緩解措施。 CISA 還建議查看 Palo Alto Networks、Microsoft 和 IBM Security Intelligence 的相關博客文章。

Source link