Специалисты в области кибербезопасности поделились подробностями масштабной кибератаки, которая была построена на уязвимости менеджера паролей ManageEngine ADSelfService Plus. На данный момент ошибка полностью устранена.
В середине сентября этого года Агентство кибербезопасности и безопасности инфраструктуры США совместно с ФБР опубликовали предупреждение о том, что обнаружили уязвимость удаленного выполнения кода в сервисе Zoho ManageEngine ADSelfService Plus. Уже 17 сентября злоумышленники начали сканировать сети клиентов сервиса в поисках тех, кто еще не успел обновиться и закрыть уязвимость.
Первые попытки эксплуатации ошибки начались 22 сентября и продолжались до начала октября. За это время хакеры успели скомпрометировать данные как минимум девяти крупных организаций в сфере технологий, медицины, образования, энергетики и обороны. Всего от рук злоумышленников пострадали не менее 370 серверов Zoho ManageEngine только на территории США. Точных данных о количестве пострадавших у исследователей нет.
Сама уязвимость получила номер CVE-2021-40539 и была устроена таким образом, что позволяла обходить аутентификацию REST API и запускать удаленное выполнение кода на уязвимых конечных устройствах. С помощью этого хакеры устанавливали веб оболочку Godzilla, которая позволяла выполнять команды в сети и перемещаться по директориям в поиске нужных файлов, интересующие данные просто выгружались с веб-сервера. Примечательно, что некоторая часть организаций была взломана с помощью бекдора NGLite, а позже злоумышленники перешли к использованию KdcSponge.
Специалисты считают, что цель атак заключалась в получении постоянного доступа к сети и в краже конфиденциальных документов. Было замечено, что хакеры собирали данные в многотомные rar-архивы, защищенные паролем.
