9月8日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告警告稱,一個(gè)影響Zoho ManageEngine ADSelfService Plus 部署的0 day漏洞目前正被廣泛利用。
該漏洞被跟蹤為CVE-2021-40539,涉及一個(gè)REST API身份驗(yàn)證繞過,可能導(dǎo)致任意遠(yuǎn)程代碼執(zhí)行 (RCE)。AD SelfService Plus構(gòu)建多達(dá)6113次受到影響。
ManageEngine ADSelfService Plus是一個(gè)集成的自助服務(wù)密碼管理和Active Directory 和云應(yīng)用程序的單點(diǎn)登錄解決方案,使管理員能夠?qū)?yīng)用程序登錄和用戶重置密碼實(shí)施雙因素身份驗(yàn)證。
CISA表示,CVE-2021-40539已在野外漏洞利用中檢測到。遠(yuǎn)程攻擊者可以利用此漏洞來控制受影響的系統(tǒng),敦促公司盡快更新應(yīng)用并確保ADSelfService Plus不能直接從互聯(lián)網(wǎng)訪問。
在一份獨(dú)立報(bào)告中,Zoho警告說,這是一個(gè)“重點(diǎn)問題”,它“注意到這個(gè)漏洞被利用的跡象”。
該公司表示:“此漏洞允許攻擊者通過發(fā)送特制請(qǐng)求,通過REST API端點(diǎn)獲得對(duì)產(chǎn)品的未經(jīng)授權(quán)訪問。這將允許攻擊者進(jìn)行后續(xù)攻擊從而導(dǎo)致RCE。”
CVE-2021-40539是ManageEngine ADSelfService Plus自年初以來披露的第五個(gè)安全漏洞,其中三個(gè):
CVE-2021-37421(CVSS評(píng)分:9.8)
CVE-2021-37417(CVSS評(píng)分:9.8)
和CVE-2021-33055(CVSS 評(píng)分:9.8)
在最近的更新中得到解決。
第四個(gè)漏洞CVE-2021-28958(CVSS 評(píng)分:9.8)已于2021年3月修復(fù)。
該漏洞影響ADSelfService Plus 6113版本和之前的版本,在6114版本或之后的版本中得到解決。
為了確定安裝是否易受攻擊,可以檢查/ManageEngine/ADSelfService Plus/logs文件夾中可用的訪問日志項(xiàng)中是否存在以下字符串:
/ RestAPI LogonCustomization
/ RestAPI /連接
這標(biāo)志著Zoho企業(yè)產(chǎn)品中的安全漏洞第二次在現(xiàn)實(shí)生活中被積極利用。2020年3月,黑客利用ManageEngine Desktop Central的RCE漏洞(CVE-2020-10189, CVSS評(píng)分:9.8)在企業(yè)網(wǎng)絡(luò)中下載和執(zhí)行惡意負(fù)載,進(jìn)而發(fā)起對(duì)全球入侵活動(dòng)。
0day漏洞讓人難以提前做好安全防御準(zhǔn)備,僅靠傳統(tǒng)的反惡意軟件解決方案不足以應(yīng)對(duì)當(dāng)今的威脅環(huán)境,每個(gè)組織都需要一個(gè)分層的,主動(dòng)的安全防護(hù)策略以檢測和阻止新的和高級(jí)威脅。在加強(qiáng)外部防護(hù)的同時(shí),更應(yīng)提高軟件自身安全防御能力。
目前,在改善軟件質(zhì)量、降低安全修復(fù)成本、提高軟件安全性以及縮短交付期等壓力之下,作為應(yīng)對(duì)這些需求最為有效的辦法之一的DevSecOps已經(jīng)成為大勢所趨。根據(jù)GitLab發(fā)布的2021年全球DevSecOps年度調(diào)查報(bào)告,36%的受訪者團(tuán)隊(duì)已經(jīng)使用了DevOps或DevSecOps開發(fā)軟件。DevSecOps借助自動(dòng)化檢測工具來構(gòu)建腳本、將源代碼進(jìn)行編譯、進(jìn)行軟件漏洞掃描。常見工具有靜態(tài)代碼檢測工具(SAST)、動(dòng)態(tài)應(yīng)用安全測試(DAST)、開源漏洞掃描工具SCA、交互式應(yīng)用安全測試(IAST)等,在提高軟件開發(fā)效率的同時(shí),加強(qiáng)軟件安全性。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/09/cis…
securityaffairs.co/wordpress/1…
