Zoho 警告0 day身份驗證繞過漏洞被積極利用

9月8日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告警告稱，一個影響Zoho ManageEngine ADSelfService Plus 部署的0 day漏洞目前正被廣泛利用。

該漏洞被跟蹤為CVE-2021-40539，涉及一個REST API身份驗證繞過，可能導(dǎo)致任意遠程代碼執(zhí)行 (RCE)。AD SelfService Plus構(gòu)建多達6113次受到影響。

ManageEngine ADSelfService Plus是一個集成的自助服務(wù)密碼管理和Active Directory 和云應(yīng)用程序的單點登錄解決方案，使管理員能夠?qū)?yīng)用程序登錄和用戶重置密碼實施雙因素身份驗證。

CISA表示，CVE-2021-40539已在野外漏洞利用中檢測到。遠程攻擊者可以利用此漏洞來控制受影響的系統(tǒng)，敦促公司盡快更新應(yīng)用并確保ADSelfService Plus不能直接從互聯(lián)網(wǎng)訪問。

在一份獨立報告中，Zoho警告說，這是一個“重點問題”，它“注意到這個漏洞被利用的跡象”。

該公司表示：“此漏洞允許攻擊者通過發(fā)送特制請求，通過REST API端點獲得對產(chǎn)品的未經(jīng)授權(quán)訪問。這將允許攻擊者進行后續(xù)攻擊從而導(dǎo)致RCE。”

CVE-2021-40539是ManageEngine ADSelfService Plus自年初以來披露的第五個安全漏洞，其中三個：

CVE-2021-37421(CVSS評分：9.8)

CVE-2021-37417(CVSS評分：9.8)

和CVE-2021-33055(CVSS 評分：9.8)

在最近的更新中得到解決。

第四個漏洞CVE-2021-28958(CVSS 評分：9.8)已于2021年3月修復(fù)。

該漏洞影響ADSelfService Plus 6113版本和之前的版本，在6114版本或之后的版本中得到解決。

為了確定安裝是否易受攻擊，可以檢查\ManageEngine\ADSelfService Plus\logs文件夾中可用的訪問日志項中是否存在以下字符串:

/ RestAPI LogonCustomization

/ RestAPI /連接

這標志著Zoho企業(yè)產(chǎn)品中的安全漏洞第二次在現(xiàn)實生活中被積極利用。2020年3月，黑客利用ManageEngine Desktop Central的RCE漏洞(CVE-2020-10189, CVSS評分:9.8)在企業(yè)網(wǎng)絡(luò)中下載和執(zhí)行惡意負載，進而發(fā)起對全球入侵活動。

0day漏洞讓人難以提前做好安全防御準備，僅靠傳統(tǒng)的反惡意軟件解決方案不足以應(yīng)對當(dāng)今的威脅環(huán)境，每個組織都需要一個分層的，主動的安全防護策略以檢測和阻止新的和高級威脅。在加強外部防護的同時，更應(yīng)提高軟件自身安全防御能力。

目前，在改善軟件質(zhì)量、降低安全修復(fù)成本、提高軟件安全性以及縮短交付期等壓力之下，作為應(yīng)對這些需求最為有效的辦法之一的DevSecOps已經(jīng)成為大勢所趨。根據(jù)GitLab發(fā)布的2021年全球DevSecOps年度調(diào)查報告，36%的受訪者團隊已經(jīng)使用了DevOps或DevSecOps開發(fā)軟件。DevSecOps借助自動化檢測工具來構(gòu)建腳本、將源代碼進行編譯、進行軟件漏洞掃描。常見工具有靜態(tài)代碼檢測工具(SAST)、動態(tài)應(yīng)用安全測試(DAST)、開源漏洞掃描工具SCA、交互式應(yīng)用安全測試(IAST)等，在提高軟件開發(fā)效率的同時，加強軟件安全性。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=1d972060e0304db5bfb42ea12adf5061

https://thehackernews.com/2021/09/cisa-warns-of-actively-exploited-zoho.html

https://securityaffairs.co/wordpress/122003/hacking/zoho-zero-day-authentication-bypass.html