Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums warnt zusammen mit der Bundespolizei FBI und dem Cyber Command der US-Küstenwache (CGCYBER) vor einer kritischen Lücke im Single-Sign-On-System der indischen Softwarefirma Zoho. Betroffen ist die Komponente ADSelfService Plus von Zohos Software-System ManageEngine. Laut CISA ist die verwundbare Software bei einer großen Anzahl von Organisationen im Einsatz – unter anderem bei Universitäten und Rüstungsunternehmen mit Freigabe durch die US-Regierung.

Alptraum eines jeden Admins

Die Sicherheitslücke (CVE-2021-40539) ist mit einem CVSS-Wert von 9.8 (von maximal 10 Punkten) als kritisch eingestuft. Angreifer können die Lücke missbrauchen, um die Anmeldung an der Software zu umgehen und aus dem öffentlichen Netz per REST-API beliebigen Schadcode auszuführen. Das ist besonders deswegen so dramatisch, weil ADSelfService Plus Zugangsdaten zu Cloud-Konten und Windows-Active-Directory-Daten eines Unternehmens verwaltet. Die Lücke eignet sich also hervorragend dafür, Zugang zu den Systemen einer Organisation zu erlangen und sich dann von dort aus in alle Bereiche des Netzwerks zu – sogenanntes Lateral Movement des Angreifers.

Und eben solche Angriffe haben CISA, FBI und CGCYBER bereits beobachtet. Die US-Behördern warnen deswegen betroffene Unternehmen und Organisationen eindringlich, etwaige Installationen von ADSelfService Plus so schnell wie möglich abzusichern. Zoho hat ein entsprechendes Update (Security Fix 6114) herausgegeben, das Admins nun schnellstens installieren sollten – falls das noch nicht geschehen ist.

Angriffe unter Umständen schwer zu entdecken

Da Angreifer durch Missbrauch der Sicherheitslücke Admin-Zugangsdaten für alle möglichen Systeme im Organisationsnetz erbeuten können, unter anderem für einzelne PCs im Netz, sind die Aufräumarbeiten nach Einspielen des Patches in der ManageEgine allerdings noch lange nicht vorbei. Admins müssen außerdem sicherstellen, dass Angreifer das Netzwerk nicht bereits unterwandert und auf anderen Systemen Fuß gefasst haben. Da laut CISA die Lücke von gut organisierten APT-Gruppen aktiv ausgenutzt wird, die in der Regel sehr geschickt darin sind, Spuren ihrer Angriffe zu verwischen, könnte es schwer werden, die Angreifer im eigenen Netz aufzuspüren.

Um die Lücke auszunutzen, laden Angreifer momentan über eine REST-API eine als X.509-Zertifikat getarnte Web-Shell auf das Zielsystem. Bei dem angeblichen Zertifikat handelt es sich in Wirklichkeit um Java Server Pages (JSP) in einem ZIP-Archiv. Weitere Zugriffe auf andere API-Endpunkte bringen das System dann dazu, die Web Shell auszuführen, was dem Angreifer wiederum Zugang zum System verschafft. Von da aus hangelt sich dieser dann via der Windows Management Instrumentation (WMI) zum Domänen-Controller im Netz vor.

Indicators of Compromise

CISA, FBI und CGCYBER empfehlen, im Netz nach den folgenden Methoden der Angreifer Ausschau zu halten:

wmic.exe wird dazu verwendet, sich im Netzwerk von System zu System zu hangeln und Schadcode auszuführen

Windows-Anmeldedaten im Klartext werden aus dem übernommenen ADSelfService-Plus-System ausgelesen

pg_dump.exe wird verwendet, um Datenbanken aus der ManageEngine auszulesen

Daten aus NTDS.dit und aus dem Registry-Knoten SECURITY/SYSTEM/NTUSER werden ausgelesen

werden ausgelesen Im Netz aufgesammelte Daten werden später über Web Shells exfiltriert

Die zwielichtigen Machenschaften werden durch die Verwendung von bereits kompromittierter, legitim wirkender US-Infrastruktur verschleiert

Die Angreifer filtern und löschen gezielt Log-Einträge, die sie verraten könnten

Neben einem Update des ADSelfService-Plus-Dienstes und erhöhter Wachsamkeit empfehlen die US-Behörden zusätzlich, alle Passwörter in der Domäne zu ändern und Kerberos Ticket Granting Tickets (TGTs) zurückzusetzen, falls auf die NTDS.dit-Datei zugegriffen wurde.

(fab)