Zoho 警告0 day身份验证绕过漏洞被积极利用

9月8日，美国网络安全和基础设施安全局(CISA)发布公告警告称，一个影响Zoho ManageEngine ADSelfService Plus 部署的0 day漏洞目前正被广泛利用。

该漏洞被跟踪为CVE-2021-40539，涉及一个REST API身份验证绕过，可能导致任意远程代码执行 (RCE)。AD SelfService Plus构建多达6113次受到影响。

ManageEngine ADSelfService Plus是一个集成的自助服务密码管理和Active Directory 和云应用程序的单点登录解决方案，使管理员能够对应用程序登录和用户重置密码实施双因素身份验证。

CISA表示，CVE-2021-40539已在野外漏洞利用中检测到。远程攻击者可以利用此漏洞来控制受影响的系统，敦促公司尽快更新应用并确保ADSelfService Plus不能直接从互联网访问。

在一份独立报告中，Zoho警告说，这是一个“重点问题”，它“注意到这个漏洞被利用的迹象”。

该公司表示：“此漏洞允许攻击者通过发送特制请求，通过REST API端点获得对产品的未经授权访问。这将允许攻击者进行后续攻击从而导致RCE。”

CVE-2021-40539是ManageEngine ADSelfService Plus自年初以来披露的第五个安全漏洞，其中三个：

CVE-2021-37421(CVSS评分：9.8)

CVE-2021-37417(CVSS评分：9.8)

和CVE-2021-33055(CVSS 评分：9.8)

在最近的更新中得到解决。

第四个漏洞CVE-2021-28958(CVSS 评分：9.8)已于2021年3月修复。

该漏洞影响ADSelfService Plus 6113版本和之前的版本，在6114版本或之后的版本中得到解决。

为了确定安装是否易受攻击，可以检查\ManageEngine\ADSelfService Plus\logs文件夹中可用的访问日志项中是否存在以下字符串:

/ RestAPI LogonCustomization

/ RestAPI /连接

这标志着Zoho企业产品中的安全漏洞第二次在现实生活中被积极利用。2020年3月，黑客利用ManageEngine Desktop Central的RCE漏洞(CVE-2020-10189, CVSS评分:9.8)在企业网络中下载和执行恶意负载，进而发起对全球入侵活动。

0day漏洞让人难以提前做好安全防御准备，仅靠传统的反恶意软件解决方案不足以应对当今的威胁环境，每个组织都需要一个分层的，主动的安全防护策略以检测和阻止新的和高级威胁。在加强外部防护的同时，更应提高软件自身安全防御能力。

目前，在改善软件质量、降低安全修复成本、提高软件安全性以及缩短交付期等压力之下，作为应对这些需求最为有效的办法之一的DevSecOps已经成为大势所趋。根据GitLab发布的2021年全球DevSecOps年度调查报告，36%的受访者团队已经使用了DevOps或DevSecOps开发软件。DevSecOps借助自动化检测工具来构建脚本、将源代码进行编译、进行软件漏洞扫描。常见工具有静态代码检测工具(SAST)、动态应用安全测试(DAST)、开源漏洞扫描工具SCA、交互式应用安全测试(IAST)等，在提高软件开发效率的同时，加强软件安全性。Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

https://www.woocoom.com/b021.html?id=1d972060e0304db5bfb42ea12adf5061

https://thehackernews.com/2021/09/cisa-warns-of-actively-exploited-zoho.html

https://securityaffairs.co/wordpress/122003/hacking/zoho-zero-day-authentication-bypass.html