FBI警告：国家级骇客正在开采Zoho的自助式密码管理平台漏洞

美国联邦调查局（FBI）、美国国土安全部旗下的网络安全暨基础架构安全署（CISA），与美国海岸防卫网战司令部（CGCYBER）在16日共同提出警告，指出有国家级骇客正在开采Zoho的自助式密码管理暨单一签入解决方案ManageEngine ADSelfService Plus的重大安全漏洞CVE-2021-40539。

CVE-2021-40539为一身份认证绕过漏洞，影响表现层状态转换（REST）应用程序界面（API）的URLs，成功的开采将允许骇客执行远端攻击，例如先行置入Web Shell，再伺机获取管理员的凭证，进行横向移动，并汲取登录档HIVE档案与Active Directory档案等。

Zoho已于今年的9月6日修补了CVE-2021-40539漏洞，而FBI、CISA与CGCYBER则发现骇客正在积极开采该漏洞，且相信由国家支撑的先进持续威胁（Advanced Persistent Threat，APT）组织可能是开采该漏洞的团队之一，将对重要的基础设施公司、美国国防承包商、学术机构，或是其它使用ManageEngine ADSelfService Plus的组织带来重大风险。

FBI等组织披露了骇客的攻击手法，从频繁地写入Web Shell、盗取使用者凭证、新增／删除使用者账号、利用微软的WMI进行远端执行、从主机上移除踪踪，到以Windows工具来汲取档案等。

美国呼吁ManageEngine ADSelfService Plus用户应该尽快升级到最新的6114版，并强烈建议不要让ManageEngine ADSelfService Plus可直接自网络存取。