CVE-2021-40539 là một nghiêm trọng trong giải pháp Zoho ManageEngine ADSelfService Plus, có thể cho phép các hacker vượt qua xác thực và có quyền kiểm soát người dùng Active Directory (AD) và tài khoản trên đám mây. Hiện nay, lỗ hổng 0-day này đang được hacker tích cực sử dụng để tấn công các máy chủ ADSelfService đang mở ra mạng internet.
Zoho đã đưa ra một bản vá và cảnh báo rằng quản trị viên nên thực hiện áp dụng bản vá ngay lập tức. Đồng thời khuyến cáo rằng không nên cho phép truy cập công khai dịch vụ web của ADSelfService từ internet. Lỗ hổng này ảnh hưởng đến các phiên bản từ 6113 trở xuống (phiên bản đã sửa là 6114).
Giải pháp Zoho ManageEngine ADSelfService Plus
Zoho ManageEngine ADSelfService Plus là giải pháp quản lý mật khẩu và đăng nhập một lần (SSO) dành cho các Active Directory và đám mây, có nghĩa là bất kỳ hacker nào có thể kiểm soát nền tảng sẽ có khả năng truy cập được vào ứng dụng quan trọng (gồm dữ liệu nhạy cảm) và các phần khác của mạng công ty qua Active Directory.
Đây không phải là lỗ hổng 0-day đầu tiên của Zoho. Vào tháng 3/2020, các nhà nghiên cứu đã công bố một lỗ hổng zero-day trong Zoho’s ManageEngine Desktop Central, một công cụ quản lý giúp người dùng quản lý máy chủ, máy tính xách tay, điện thoại thông minh từ một hệ thống tập trung. Các lỗi nghiêm trọng CVE-2020-10189 cho phép hacker giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng mà không cần phải .
Lỗ hổng CVE-2021-40539
Theo thông báo của Zoho thì lỗ hổng vượt qua xác thực này nằm trên REST API của ADSelfService Plus, lợi dụng lỗ hổng vượt qua xác thực này, hacker có thể thực thi được mã trên các máy chủ cài đặt dịch vụ.
Điều nghiêm trọng ở đây là việc khai thác lỗ hổng này đã được các hacker thực hiện trong một thời gian dài trước đây. Như vậy các quản trị viên quản lý dịch vụ sẽ cần phải rà soát lại nếu như họ đang cho phép truy cập tới dịch vụ từ internet, nếu phát hiện bất kỳ điều gì bất thường thì việc đổi cho toàn bộ người dùng của Active Directory là điều bắt buộc phải thực hiện.
Hiện nay có rất ít các thông tin chi tiết của lỗ hổng này. Đến thời điểm hiện tại chưa có mã khai thác nào được hiện, tuy nhiên, các quản trị viên vẫn cần nhanh chóng vá lỗ hổng.
Bài twitter của chuyên gia an ninh mạng từ Crowdstrike
Theo chuyên gia an ninh mạng của Crowdstrike thì các cuộc tấn công được ghi nhận hiện nay đều nhắm vào một số mục tiêu cụ thể và có thể xuất phát từ một tổ chức hoặc cá nhân. Hacker có mục tiêu rất có ràng khi xâm nhập và thực hiện thoát ra rất nhanh chóng.
Kiểm tra sự tồn tại của lỗ hổng trên Zoho AD SelfService Plus
Các quản trị viên của dịch vụ có thể kiểm tra xem họ có bị khai thác hay không bằng cách kiểm tra nhật ký truy cập tại thư mục \ManageEngine\ADSelfService Plus\logs theo các URI sau:
• /RestAPI/LogonCustomization
• /RestAPI/Connection
Ngoài ra, quản trị viên cũng có thể tìm kiếm các file sau trong thư mục cài đặt ADSelfService Plus nếu đang sử dụng phiên bản tồn tại lỗ hổng:
• Tập tin có đuôi .cer trong thư mục \ManageEngine\ADSelfService Plus\bin
• Tập tin có đuôi .jsp trong thư mục \ManageEngine\ADSelfService Plus\help\admin-guide\Reports
Điều quan trọng nhất là hãy cập nhật bản vá mới nhất để tránh bị ảnh hưởng bởi lỗ hổng trong tương lai.
Đăng Thứ
09:00 | 13/10/2021
17:00 | 26/11/2021
11:00 | 13/09/2021
09:00 | 23/09/2021
14:00 | 27/09/2021
12:00 | 13/01/2023
09:00 | 06/09/2021
08:00 | 11/08/2021
08:00 | 30/09/2021
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024