9月8日,美国网络安全和基础设施安全局(CISA)发布公告警告称,一个影响Zoho ManageEngine ADSelfService Plus 部署的0 day漏洞目前正被广泛利用。
该漏洞被跟踪为CVE-2021-40539,涉及一个REST API身份验证绕过,可能导致任意远程代码执行 (RCE)。AD SelfService Plus构建多达6113次受到影响。
ManageEngine ADSelfService Plus是一个集成的自助服务密码管理和Active Directory 和云应用程序的单点登录解决方案,使管理员能够对应用程序登录和用户重置密码实施双因素身份验证。
CISA表示,CVE-2021-40539已在野外漏洞利用中检测到。远程攻击者可以利用此漏洞来控制受影响的系统,敦促公司尽快更新应用并确保ADSelfService Plus不能直接从互联网访问。
在一份独立报告中,Zoho警告说,这是一个“重点问题”,它“注意到这个漏洞被利用的迹象”。
该公司表示:“此漏洞允许攻击者通过发送特制请求,通过REST API端点获得对产品的未经授权访问。这将允许攻击者进行后续攻击从而导致RCE。”
CVE-2021-40539是ManageEngine ADSelfService Plus自年初以来披露的第五个安全漏洞,其中三个:
CVE-2021-37421(CVSS评分:9.8)
CVE-2021-37417(CVSS评分:9.8)
和CVE-2021-33055(CVSS 评分:9.8)
在最近的更新中得到解决。
第四个漏洞CVE-2021-28958(CVSS 评分:9.8)已于2021年3月修复。
该漏洞影响ADSelfService Plus 6113版本和之前的版本,在6114版本或之后的版本中得到解决。
为了确定安装是否易受攻击,可以检查/ManageEngine/ADSelfService Plus/logs文件夹中可用的访问日志项中是否存在以下字符串:
/ RestAPI LogonCustomization
/ RestAPI /连接
这标志着Zoho企业产品中的安全漏洞第二次在现实生活中被积极利用。2020年3月,黑客利用ManageEngine Desktop Central的RCE漏洞(CVE-2020-10189, CVSS评分:9.8)在企业网络中下载和执行恶意负载,进而发起对全球入侵活动。
0day漏洞让人难以提前做好安全防御准备,仅靠传统的反恶意软件解决方案不足以应对当今的威胁环境,每个组织都需要一个分层的,主动的安全防护策略以检测和阻止新的和高级威胁。在加强外部防护的同时,更应提高软件自身安全防御能力。
目前,在改善软件质量、降低安全修复成本、提高软件安全性以及缩短交付期等压力之下,作为应对这些需求最为有效的办法之一的DevSecOps已经成为大势所趋。根据GitLab发布的2021年全球DevSecOps年度调查报告,36%的受访者团队已经使用了DevOps或DevSecOps开发软件。DevSecOps借助自动化检测工具来构建脚本、将源代码进行编译、进行软件漏洞扫描。常见工具有静态代码检测工具(SAST)、动态应用安全测试(DAST)、开源漏洞扫描工具SCA、交互式应用安全测试(IAST)等,在提高软件开发效率的同时,加强软件安全性。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
www.woocoom.com/b021.html?i…
thehackernews.com/2021/09/cis…
securityaffairs.co/wordpress/1…