ADパスワード管理ツールの脆弱性、APT攻撃で悪用 - 米当局が注意喚起
Zoho製ソフトウェア「ManageEngine ADSelfService Plus」に深刻な脆弱性が見つかった問題で、APT攻撃に悪用されていることがわかった。ドメインコントローラーを侵害され、組織に多大な影響を及ぼすおそれがあり、米当局が注意を呼びかけている。
同製品は「Active Directory」でアカウントロック、パスワードのセルフリセットや、シングルサインオンなどの機能を提供するソフトウェア。「REST API」において認証をバイパスし、リモートよりコードを実行される脆弱性「CVE-2021-40539」が判明している。
アップデート公開当初よりゼロデイ攻撃が報告されているが、「APT(Advanced Persistent Threat)」攻撃に悪用されており、痕跡の消去など巧妙な手口が用いられていることも判明したとして、あらためて米国土安全保障省傘下のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)や米沿岸警備隊サイバー軍(CGCYBER)および米連邦捜査局(FBI)が共同で注意喚起を行った。
アップデートがリリースされたのは現地時間9月6日だが、少なくとも8月ごろには、同脆弱性を悪用した攻撃が発生していたという。
脆弱性を悪用することで「ウェブシェル」の設置が可能。「コマンド&コントロールサーバ」との暗号化した通信経路を確保され、管理者のアカウント情報やデータベースの窃取、ユーザーアカウントの追加や削除が可能となり、ラテラルムーブメントなど組織が広く侵害されるおそれがある。
(Security NEXT - 2021/09/22 )
ツイート
関連リンク
PR
関連記事
「SecureAge Security Suite」に深刻な脆弱性 - アップデートを
ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
Xerox製印刷ワークフロー管理ソフトに複数の脆弱性
SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ
プラネックス製ルータ「MZK-DP300N」にXSS脆弱性
HPE Arubaの無線LAN変換ブリッジに脆弱性 - PoC公開済み
Cisco、セキュリティアドバイザリ3件を公開
Palo Altoの「Expedition」に複数脆弱性 - 2024年末にEOL
「VMware Aria Automation」にSSRF脆弱性 - アップデートで修正