原始发布日期:2021 年 11 月 19 日
联邦调查局 (FBI)、CISA 和海岸警卫队网络司令部 (CGCYBER) 更新了 2021 年 9 月 16 日发布的联合网络安全公告 (CSA),其中详细介绍了身份验证绕过漏洞 (CVE-2021- 40539) 在 Zoho ManageEngine ADSelfService Plus 中——自助式密码管理和单点登录解决方案。
该更新提供了有关 APT 参与者用于启用此活动的一套工具的详细信息:
- Dropper:一种在系统上释放 Godzilla webshell 的 dropper 木马
- 哥斯拉:一个中文网页外壳
- NGLite:用 Go 编写的后门木马
- KdcSponge:一种工具,针对 Microsoft 的 Kerberos 实施中未记录的 API 进行凭据泄露
注意:FBI、CISA 和 CGCYBER 无法确认 CVE-2021-40539 是 APT 参与者在此活动中利用的唯一漏洞,因此网络防御者除了初始访问向量外,还应重点检测上面列出的工具。 .
CISA 鼓励组织审查 11 月 19 日更新的更新并应用建议的缓解措施。 CISA 还建议查看 Palo Alto Networks、Microsoft 和 IBM Security Intelligence 的相关博客文章。
本产品的提供受本通知和本隐私和使用政策的约束。