米国の連邦捜査局(FBI)と国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、および沿岸警備隊サイバーコマンド(CGCYBER)は9月16日(現地時間)、「Zoho ManageEngine ADSelfService Plus」の脆弱性に関する共同セキュリティアドバイザリ「Alert (AA21-259A): APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus」を発表した。

このアドバイザリは、同9月9日に公表されたManageEngine ADSelfService Plusにおける認証バイパスの脆弱性「CVE-2021-40539」に関するもので、詳細な情報を公開するとともに、早急に対策を行うように呼びかけている。

  • Alert (AA21-259A): APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus

    Alert (AA21-259A): APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus

ZohoのManageEngine ADSelfService Plusは、Windows Active Directoryにおいてアカウントロック解除やパスワードリセットなどの運用をセルフサービス化するWebベースのソフトウェア。CVE-2021-40539はこの製品のREST APIの実装に存在した脆弱性で、悪意をもって加工されたリクエストを処理することによって、攻撃者によって認証をバイパスされリモートから任意のコードを実行される危険性がある。CVSS v3のベーススコアは9.8で、深刻度は最も高い「Critical(緊急)」に分類されている。

Zohoはこの脆弱性がすでに実際の攻撃に悪用されていると報告しているが、アドバイザリAA21-259Aによれば、この脆弱性を悪用しているのは高度なAPTアクター(持続的な脅威をもたらすをサイバー攻撃者)である可能性が高いという。

FBI、CISA、およびCGCYBERは、2021年8月にはCVE-2021-40539の脆弱性を悪用した攻撃に関する報告を受けていたとのこと。対象システムの侵害に成功した攻撃者は、以下に挙げるようなさまざまな手法で持続的な攻撃を実施すると報告されている。

  • 永続性のためにWebシェルをディスクに書き込む
  • ファイルまたは情報の難読化および難読化の解除を行う
  • ユーザーの資格情報をダンプするための操作を実行する
  • 後続のアクションに署名されたWindowsバイナリのみを使用する
  • 必要に応じてユーザーアカウントを追加/削除する
  • Active Directoryデータベースまたはレジストリハイブのコピーを盗む
  • リモート実行にWindows Management Instrumentation(WMI)を使用する
  • ホストから痕跡を削除する
  • netコマンドを使用してドメインアカウントを検出する
  • Windowsユーティリティを使用してファイルを収集およびアーカイブして抽出する
  • コマンドアンドコントロール(C2)のためのカスタム暗号を使用する

Zohoは9月6日にこの脆弱性を修正した「ManageEngine ADSelfService Plus ビルド6114」をリリースしている。FBI、CISA、およびCGCYBERは、このビルド6114へのアップデートを強く推奨している。また、被害を軽減するために、ADSelfService Plusにインターネットから直接アクセスできないように設定するように指示している。