原始發布日期:2021 年 11 月 19 日
聯邦調查局 (FBI)、CISA 和海岸警衛隊網絡司令部 (CGCYBER) 更新了 2021 年 9 月 16 日發布的聯合網絡安全公告 (CSA),其中詳細介紹了身份驗證繞過漏洞 (CVE-2021- 40539) 在 Zoho ManageEngine ADSelfService Plus 中——自助式密碼管理和單點登錄解決方案。
該更新提供了有關 APT 參與者用於啟用此活動的一套工具的詳細信息:
- Dropper:一種在系統上釋放 Godzilla webshell 的 dropper 木馬
- 哥斯拉:一個中文網頁外殼
- NGLite:用 Go 編寫的後門木馬
- KdcSponge:一種工具,針對 Microsoft 的 Kerberos 實施中未記錄的 API 進行憑據洩露
注意:FBI、CISA 和 CGCYBER 無法確認 CVE-2021-40539 是 APT 參與者在此活動中利用的唯一漏洞,因此網絡防御者除了初始訪問向量外,還應重點檢測上面列出的工具。 .
CISA 鼓勵組織審查 11 月 19 日更新的更新並應用建議的緩解措施。 CISA 還建議查看 Palo Alto Networks、Microsoft 和 IBM Security Intelligence 的相關博客文章。
本產品的提供受本通知和本隱私和使用政策的約束。