Posté le septembre 19, 2021 à 21:23
LE FBI MET EN GARDE CONTRE LE BUG DE ZOHO UTILISÉ PAR LES HACKERS
Le Federal Bureau of Investigations des États-Unis a pris le temps d’avertir les utilisateurs que les hackers pourraient exploiter le bug crucial de Zoho pour mettre en œuvre leurs attaques. Dans ses messages, le FBI encourage les entreprises à mettre à jour leur Zoho ADSelfService Plus pour se protéger des redoutables attaques.
Un avis conjoint entre le Coastal Guard Cyber Command (CGCUBER), le FBI et la CISA, des avertissements critiques sont plus que jamais transmis aux organisations car la menace d’être la cible des hackers est réelle. Les avertissements s’adressent aux entreprises concernant les groupes de hackers qui seraient parrainés par l’État en tant qu’organismes de menace persistante avancée (APT) pour tirer parti des vulnérabilités logicielles associées à Zoho activement.
Zoho peut être perçu comme un logiciel de reporting des dépenses d’une organisation et comme développé pour aider les entités et les établissements dans leurs efforts de développement de leurs activités. Zoho Expense a reçu de multiples mises à jour comme l’amélioration du contrôle des utilisateurs, la capacité de contrôle des activités associées et, plus récemment, la création et le suivi du budget directement depuis le tableau de bord du logiciel.
Les organisations peuvent également mettre en place des alertes personnalisables pour les aider à éviter les dépassements de budget. Elles peuvent également bloquer automatiquement davantage d’applications tout en tirant parti du nouveau moteur de règles pour s’assurer que leurs services financiers respectent les exigences de conformité.
Faille de sécurité associée au bug de Zoho
Connue sous le nom de CVE-2021-40539, la faille a été découverte dans ManageEngine ADSelfService Plus de Zoho, un logiciel qui permet l’authentification unique et la gestion des mots de passe. L’exploitation d’une telle faille permet à l’attaquant de se retrouver dans une situation exceptionnelle où il peut prendre le contrôle de tous les systèmes défectueux du réseau de l’entreprise en question.
L’avertissement émis par ce comité consultatif en matière de sécurité intervient peu de temps après que la CISA ait adressé les mêmes avertissements à d’autres entreprises sur des questions liées à la vulnérabilité de leurs systèmes de sécurité. Dans son allocution, la CISA s’est assurée que les entreprises savaient que la faille était susceptible d’être exploitée et que, si cela se produisait, les hackers auraient la possibilité d’implémenter du code d’accès à distance.
La CISA a donné plus d’informations sur la façon dont les hackers ont tiré parti des failles du système, indiquant que l’attaque de ManageEngine ADSelfService Plus a été inspirée par le niveau de menace qu’une attaque réussie aurait sur l’infrastructure des entreprises ciblées, qui comprenaient des entreprises d’infrastructures critiques, des entrepreneurs de défense autorisés par les États-Unis et des écoles, entre autres institutions utilisant le logiciel Zoho.
Les conséquences d’une attaque réussie
Lorsque les hackers ou les auteurs malveillants réussissent à exploiter la vulnérabilité, ils sont en mesure d’installer des webshells dans le système, une action qui leur permet de mener d’autres activités redoutables même après l’attaque, notamment la fuite des informations d’identification confidentielles de l’administration de la victime, la réalisation de mouvements latéraux et la pénétration dans les ruches du registre parmi d’autres fichiers détenus par le répertoire.
En ce qui concerne les mouvements latéraux, les vulnérabilités dans l’authentification de ManageEngine ADSelfService constituent un terrain d’exploitation très prisé. À chaque fois, les attaquants profitent de la faille pour positionner des webshells JavaServer Pages (JSP) qui imitent la forme du certificat X509.
Grâce au déploiement ou au positionnement de ces webshells, les hackers peuvent facilement effectuer des mouvements latéraux au sein du réseau de l’entreprise par le biais de Windows Management Instrumentation (WMI). Cela leur permet également d’entrer dans les contrôleurs de domaines individuels afin de mettre en place des ruches et des NTDS de sécurité et de système.
Il est important de noter que ces groupes, appelés « attaquants de menaces persistantes avancées » (APT), profitent de plus en plus de cette faille particulière du système dans d’autres parties du monde. Ils lancent des attaques contre des entreprises de différents secteurs, notamment, mais pas exclusivement, le secteur des transports, l’informatique, l’éducation, la sécurité et la défense, les communications, le transport et la logistique, la fabrication et même la finance.
Il est donc conseillé aux entreprises utilisant le logiciel Zoho ManageEngine ADSelfService Plus de mettre à jour les logiciels qu’elles utilisent à la dernière version, car celle-ci est dotée de protocoles et de dispositions de sécurité améliorés. La dernière version a été lancée récemment et comporte un correctif pour corriger la vulnérabilité CVE-2021-40539, plaçant ainsi les serveurs et systèmes concernés dans un mode de fonctionnement plus sûr où les attaquants ne peuvent pas accéder à leurs réseaux et compromettre l’intégrité de leurs opérations.
Le comité consultatif conjoint sur la sécurité des systèmes formé par la CISA, le FBI et le CGCYBER a également proposé que les entreprises s’assurent que le progiciel ADSelfService Plus qu’elles utilisent n’est pas accessible directement par Internet. Cela permet de les protéger contre les attaques de piratage qui profiteraient d’une telle vulnérabilité.
Zoho a mis à niveau son dispositif de détection des fraudes afin d’aider les organisations à identifier et à signaler les faux reçus et les citations frauduleuses telles que les entrées dupliquées. La nouvelle mise à niveau prévoit également des flux dans leurs mécanismes d’approbation qui peuvent être personnalisés. Grâce à ces évolutions, les entreprises disposent d’une mesure supplémentaire de contrôle sur leur système.