CVE-2021-40539 là một lỗ hổng bảo mật nghiêm trọng trong giải pháp Zoho ManageEngine ADSelfService Plus, có thể cho phép các hacker vượt qua xác thực và có quyền kiểm soát người dùng Active Directory (AD) và tài khoản trên đám mây. Hiện nay, lỗ hổng 0-day này đang được hacker tích cực sử dụng để tấn công các máy chủ ADSelfService đang mở ra mạng internet.
Zoho đã đưa ra một bản vá và cảnh báo rằng quản trị viên nên thực hiện áp dụng bản vá ngay lập tức. Đồng thời khuyến cáo rằng không nên cho phép truy cập công khai dịch vụ web của ADSelfService từ internet. Lỗ hổng này ảnh hưởng đến các phiên bản từ 6113 trở xuống (phiên bản đã sửa là 6114).
Giải pháp Zoho ManageEngine ADSelfService Plus
Zoho ManageEngine ADSelfService Plus là giải pháp quản lý mật khẩu và đăng nhập một lần (SSO) dành cho các Active Directory và đám mây, có nghĩa là bất kỳ hacker nào có thể kiểm soát nền tảng sẽ có khả năng truy cập được vào ứng dụng quan trọng (gồm dữ liệu nhạy cảm) và các phần khác của mạng công ty qua Active Directory.
Đây không phải là lỗ hổng 0-day đầu tiên của Zoho. Vào tháng 3/2020, các nhà nghiên cứu đã công bố một lỗ hổng zero-day trong Zoho’s ManageEngine Desktop Central, một công cụ quản lý giúp người dùng quản lý máy chủ, máy tính xách tay, điện thoại thông minh từ một hệ thống tập trung. Các lỗi nghiêm trọng CVE-2020-10189 cho phép hacker giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng mà không cần phải xác thực.
Lỗ hổng CVE-2021-40539
Theo thông báo của Zoho thì lỗ hổng vượt qua xác thực này nằm trên REST API của ADSelfService Plus, lợi dụng lỗ hổng vượt qua xác thực này, hacker có thể thực thi được mã trên các máy chủ cài đặt dịch vụ.
Điều nghiêm trọng ở đây là việc khai thác lỗ hổng này đã được các hacker thực hiện trong một thời gian dài trước đây. Như vậy các quản trị viên quản lý dịch vụ sẽ cần phải rà soát lại nếu như họ đang cho phép truy cập tới dịch vụ từ internet, nếu phát hiện bất kỳ điều gì bất thường thì việc đổi mật khẩu cho toàn bộ người dùng của Active Directory là điều bắt buộc phải thực hiện.
Hiện nay có rất ít các thông tin chi tiết của lỗ hổng này. Đến thời điểm hiện tại chưa có mã khai thác nào được hiện, tuy nhiên, các quản trị viên vẫn cần nhanh chóng vá lỗ hổng.
Bài twitter của chuyên gia an ninh mạng từ Crowdstrike
Theo chuyên gia an ninh mạng của Crowdstrike thì các cuộc tấn công được ghi nhận hiện nay đều nhắm vào một số mục tiêu cụ thể và có thể xuất phát từ một tổ chức hoặc cá nhân. Hacker có mục tiêu rất có ràng khi xâm nhập và thực hiện thoát ra rất nhanh chóng.
Kiểm tra sự tồn tại của lỗ hổng trên Zoho AD SelfService Plus
Các quản trị viên của dịch vụ có thể kiểm tra xem họ có bị khai thác hay không bằng cách kiểm tra nhật ký truy cập tại thư mục \ManageEngine\ADSelfService Plus\logs theo các URI sau:
• /RestAPI/LogonCustomization
• /RestAPI/Connection
Ngoài ra, quản trị viên cũng có thể tìm kiếm các file sau trong thư mục cài đặt ADSelfService Plus nếu đang sử dụng phiên bản tồn tại lỗ hổng:
• Tập tin có đuôi .cer trong thư mục \ManageEngine\ADSelfService Plus\bin
• Tập tin có đuôi .jsp trong thư mục \ManageEngine\ADSelfService Plus\help\admin-guide\Reports
Điều quan trọng nhất là hãy cập nhật bản vá mới nhất để tránh bị ảnh hưởng bởi lỗ hổng trong tương lai.
Đăng Thứ
09:00 | 13/10/2021
17:00 | 26/11/2021
11:00 | 13/09/2021
09:00 | 23/09/2021
14:00 | 27/09/2021
12:00 | 13/01/2023
09:00 | 06/09/2021
08:00 | 11/08/2021
08:00 | 30/09/2021
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
09:00 | 05/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Halcyon (Mỹ) đã phát hiện ra một phiên bản mới của mã độc tống tiền Qilin với các tính năng mã hóa nâng cao, lẩn tránh bị phát hiện bởi các công cụ bảo mật và phá vỡ cơ chế phục hồi dữ liệu.
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025
