Lỗ hổng nghiêm trọng 0-day trên Zoho ManageEngine Password Manager

15:00 | 16/09/2021 | LỖ HỔNG ATTT

Lỗ hổng 0-day có mã định danh CVE-2021-40539 giúp hacker vượt qua cơ chế xác thực của ManageEngine ADSelfService Plus để có thể thực thi mã từ xa, mở ra cánh cổng đến với máy chủ quản trị domain Active Directory.

Lỗ hổng nghiêm trọng 0-day trên Zoho ManageEngine Password Manager

CVE-2021-40539 là một lỗ hổng bảo mật nghiêm trọng trong giải pháp Zoho ManageEngine ADSelfService Plus, có thể cho phép các hacker vượt qua xác thực và có quyền kiểm soát người dùng Active Directory (AD) và tài khoản trên đám mây. Hiện nay, lỗ hổng 0-day này đang được hacker tích cực sử dụng để tấn công các máy chủ ADSelfService đang mở ra mạng internet.

Zoho đã đưa ra một bản vá và cảnh báo rằng quản trị viên nên thực hiện áp dụng bản vá ngay lập tức. Đồng thời khuyến cáo rằng không nên cho phép truy cập công khai dịch vụ web của ADSelfService từ internet. Lỗ hổng này ảnh hưởng đến các phiên bản từ 6113 trở xuống (phiên bản đã sửa là 6114).

Giải pháp Zoho ManageEngine ADSelfService Plus

Zoho ManageEngine ADSelfService Plus là giải pháp quản lý mật khẩu và đăng nhập một lần (SSO) dành cho các Active Directory và đám mây, có nghĩa là bất kỳ hacker nào có thể kiểm soát nền tảng sẽ có khả năng truy cập được vào ứng dụng quan trọng (gồm dữ liệu nhạy cảm) và các phần khác của mạng công ty qua Active Directory.

Đây không phải là lỗ hổng 0-day đầu tiên của Zoho. Vào tháng 3/2020, các nhà nghiên cứu đã công bố một lỗ hổng zero-day trong Zoho’s ManageEngine Desktop Central, một công cụ quản lý giúp người dùng quản lý máy chủ, máy tính xách tay, điện thoại thông minh từ một hệ thống tập trung. Các lỗi nghiêm trọng CVE-2020-10189 cho phép hacker giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng mà không cần phải xác thực.

Lỗ hổng CVE-2021-40539

Theo thông báo của Zoho thì lỗ hổng vượt qua xác thực này nằm trên REST API của ADSelfService Plus, lợi dụng lỗ hổng vượt qua xác thực này, hacker có thể thực thi được mã trên các máy chủ cài đặt dịch vụ.

Điều nghiêm trọng ở đây là việc khai thác lỗ hổng này đã được các hacker thực hiện trong một thời gian dài trước đây. Như vậy các quản trị viên quản lý dịch vụ sẽ cần phải rà soát lại nếu như họ đang cho phép truy cập tới dịch vụ từ internet, nếu phát hiện bất kỳ điều gì bất thường thì việc đổi mật khẩu cho toàn bộ người dùng của Active Directory là điều bắt buộc phải thực hiện.

Hiện nay có rất ít các thông tin chi tiết của lỗ hổng này. Đến thời điểm hiện tại chưa có mã khai thác nào được hiện, tuy nhiên, các quản trị viên vẫn cần nhanh chóng vá lỗ hổng.

Bài twitter của chuyên gia an ninh mạng từ Crowdstrike

Theo chuyên gia an ninh mạng của Crowdstrike thì các cuộc tấn công được ghi nhận hiện nay đều nhắm vào một số mục tiêu cụ thể và có thể xuất phát từ một tổ chức hoặc cá nhân. Hacker có mục tiêu rất có ràng khi xâm nhập và thực hiện thoát ra rất nhanh chóng.

Kiểm tra sự tồn tại của lỗ hổng trên Zoho AD SelfService Plus

Các quản trị viên của dịch vụ có thể kiểm tra xem họ có bị khai thác hay không bằng cách kiểm tra nhật ký truy cập tại thư mục \ManageEngine\ADSelfService Plus\logs theo các URI sau:

• /RestAPI/LogonCustomization
• /RestAPI/Connection

Ngoài ra, quản trị viên cũng có thể tìm kiếm các file sau trong thư mục cài đặt ADSelfService Plus nếu đang sử dụng phiên bản tồn tại lỗ hổng:

• Tập tin có đuôi .cer trong thư mục \ManageEngine\ADSelfService Plus\bin
• Tập tin có đuôi .jsp trong thư mục \ManageEngine\ADSelfService Plus\help\admin-guide\Reports

Điều quan trọng nhất là hãy cập nhật bản vá mới nhất để tránh bị ảnh hưởng bởi lỗ hổng trong tương lai.

Đăng Thứ

‹ › ×

Tin liên quan

Chia sẻ của Cyber Security Works về các lỗ hổng ransomware gây nguy hại đến các tổ chức

09:00 | 13/10/2021

Ngày nay, những kẻ tấn công đang tích cực khai thác vào những điểm yếu và tiến hành các chiến dịch ransomware “tàn khốc”, hiện có 266 lỗ hổng liên quan đến dạng phần mềm độc hại này. Do đó, việc xác định và khắc phục các lỗ hổng cần được đặt ra là nhiệm vụ trọng tâm hàng đầu đối với các tổ chức, để đảm bảo an toàn trước mối nguy cơ từ ransomware. Bài viết dưới đây là chia sẻ bởi Ram Movva - nhà sáng lập và Chủ tịch của Công ty An ninh mạng Cyber Security Works – CSW (có trụ sở tại Hoa Kỳ).

Intel và AMD vá nhiều lỗ hổng nghiêm trọng trên các bộ xử lý và trình điều khiển

17:00 | 26/11/2021

Mới đây, Intel và AMD đã vá các lỗ hổng trong các sản phẩm của hãng. Đáng lưu ý là các lỗ hổng bảo mật có mức độ nghiêm trọng tồn tại trên các bộ xử lý và trình điều khiển.

Lỗ hổng bảo mật trong sản phẩm giám sát video của Annke

11:00 | 13/09/2021

Các nhà nghiên cứu tại công ty an ninh mạng Nozomi Networks đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng, có thể bị khai thác để tấn công một sản phẩm giám sát video của Annke, nhà cung cấp giải pháp bảo mật gia đình và doanh nghiệp toàn cầu có trụ sở tại Hồng Kông.

Apple bị tấn công “Zero-Click” và cách thức hoạt động của hình thức tấn công này

09:00 | 23/09/2021

Từ ngày 7/9/2021 đến nay, Apple đã gấp rút phát triển bản vá cho một lỗ hổng bảo mật lớn cho phép tải phần mềm gián điệp xuống iPhone hoặc iPad mà người dùng thậm chí không cần nhấp vào bất kỳ một liên kết nào. Nhưng làm thế nào để một cuộc tấn công “Zero-Click” hoạt động được và cách ngăn chặn chúng.

Lỗ hổng nghiêm trọng CVE-2021-3437 ảnh hưởng tới hàng triệu máy tính HP OMEN

14:00 | 27/09/2021

Các nhà nghiên cứu đã phát hiện lỗ hổng nghiêm trọng định danh CVE-2021-3437 trong máy tính xách tay HP OMEN và máy tính để bàn chơi game khiến hàng triệu hệ thống đứng trước nguy cơ tấn công từ chối dịch vụ và leo thang đặc quyền.

Zoho khuyến cáo người dùng cập nhật lỗ hổng nghiêm trọng trong ManageEngine

12:00 | 13/01/2023

Nhà cung cấp phần mềm doanh nghiệp Zoho mới đây đã cảnh báo người dùng về một lỗ hổng nghiêm trọng có mã định danh CVE-2022-47523 ảnh hưởng đến sản phẩm ManageEngine.

Xác thực và trao đổi khóa trong mạng di động 4G

09:00 | 06/09/2021

Mạng 4G là công nghệ truyền thông không dây thế hệ thứ 4 và đang được sử dụng rất phổ biến trên thế giới cũng như ở Việt Nam. Mạng 4G sử dụng giao thức EPS-AKA để xác thực giữa người dùng và mạng, đồng thời dẫn xuất các khóa mật mã để bảo vệ tín hiệu và dữ liệu người dùng. Bài báo sẽ mô tả giao thức EPS-AKA và các điểm yếu của giao thức này.

Phương pháp xác thực không dùng mật khẩu vẫn cần mật khẩu dự phòng

08:00 | 11/08/2021

Theo dự báo của công ty nghiên cứu và tư vấn công nghệ thông tin toàn cầu Gartner, đến năm 2022, 60% doanh nghiệp trên toàn cầu sẽ triển khai một số giải pháp xác thực không dùng mật khẩu để tăng cường bảo mật. Mặc dù các công cụ xác thực mới này sẽ tạo sự tiện dụng cho người dùng, tuy nhiên, việc loại bỏ giải pháp bảo mật bằng mật khẩu chưa được khẳng định sẽ mang lại hiệu quả 100%.

Lỗ hổng trên API đe dọa hàng triệu người dùng

08:00 | 30/09/2021

Hàng triệu người dùng có thể đã bị lộ thông tin cá nhân và thông tin thanh toán sau khi các nhà nghiên cứu phát hiện ra các lỗ hổng bảo mật trên API ảnh hưởng đến nhiều ứng dụng.

Tin cùng chuyên mục

Lỗ hổng nghiêm trọng ảnh hưởng tới người dùng Apache Fineract

09:00 | 24/02/2025

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.

Tin tặc Star Blizzard nhắm mục tiêu vào các tài khoản WhatsApp trong chiến dịch lừa đảo mới

17:00 | 28/01/2025

Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.

Những sự cố công nghệ nghiêm trọng nhất trong năm 2024

13:00 | 25/12/2024

Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.

Tin tặc khai thác T-Mobile và các công ty viễn thông khác của Hoa Kỳ

11:00 | 05/12/2024

Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.