ManageEngine ADSelfService Plus - CVE-2021-40539

O vulnerabilitate de severitate ridicată (CVE-2021-40539), a cărei exploatare afectează adresele URL REST API, ar putea duce la executarea codului la distanță (RCE).
Infractorii cibernetici folosesc deja vulnerabilitatea pentru a ataca utilizatorii de ManageEngine.

Cum funcționează atacul
Compromisul reușit al ManageEngine ADSelfService Plus, prin exploatarea CVE-2021-40539, permite atacatorului să încarce un fișier .zip care conține un webshell JavaServer Pages (JSP) mascat ca un certificat x509: service.cer. Cererile ulterioare sunt apoi făcute către diferite puncte finale API pentru a exploata în continuare sistemul victimei. După exploatarea inițială, webshell-ul JSP este accesibil la /help/admin-guide/Reports/ReportGenerate.jsp. Atacatorul apoi va încearcă să se deplaseze lateral folosind Instrumentul de gestionare Windows (WMI), să obțină acces la un controler de domeniu, să descarce NTDS.dit și registrele SECURITY/ SYSTEM și apoi, de acolo, va continua să compromită accesul. Confirmarea unui atac de succes al ManageEngine ADSelfService Plus poate fi dificil - atacatorii execută scripturi de curățare concepute pentru a elimina urmele punctului inițial compromis și va ascunde orice relație între vulnerabilitățile exploatate și webshell.

Indicatori de compromis
Hash-uri:
068d1b3813489e41116867729504c40019ff2b1fe32aab4716d429780e666324
49a6f77d380512b274baff4f78783f54cb962e2a8a5e238a453058a351fcfbba
File paths:
C:\ManageEngine\ADSelfService Plus\webapps\adssp\help\admin-guide\reports\ReportGenerate.jsp
C:\ManageEngine\ADSelfService Plus\webapps\adssp\html\promotion\adap.jsp
C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\help
C:\ManageEngine\ADSelfService Plus\jre\bin\SelfSe~1.key (filename varies with an epoch timestamp of creation, extension may vary as well)
C:\ManageEngine\ADSelfService Plus\webapps\adssp\Certificates\SelfService.csr
C:\ManageEngine\ADSelfService Plus\bin\service.cer
C:\Users\Public\custom.txt
C:\Users\Public\custom.bat
C:\ManageEngine\ADSelfService Plus\work\Catalina\localhost\ROOT\org\apache\jsp\help (including subdirectories and contained files)
Webshell URL Paths:
/help/admin-guide/Reports/ReportGenerate.jsp
/html/promotion/adap.jsp
Verificați fișierele jurnal situate la C:\ManageEngine\ADSelfService Plus\logs pentru dovezi ale exploatării cu succes a vulnerabilității ADSelfService Plus:
- In access* logs:
/help/admin-guide/Reports/ReportGenerate.jsp

/ServletApi/../RestApi/LogonCustomization
/ServletApi/../RestAPI/Connection
- In serverOut_* logs:
 Keystore will be created for "admin"
The status of keystore creation is Upload!
-  In adslog* logs:
Java traceback errors that include references to NullPointerException in addSmartCardConfig or getSmartCardConfig

Yara Rules:
rule ReportGenerate_jsp {
   strings:
      $s1 = "decrypt(fpath)"
      $s2 = "decrypt(fcontext)"
      $s3 = "decrypt(commandEnc)"
      $s4 = "upload failed!"
      $s5 = "sevck"
      $s6 = "newid"
   condition:
      filesize < 15KB and 4 of them
}
 
rule EncryptJSP {
   strings:
      $s1 = "AEScrypt"
      $s2 = "AES/CBC/PKCS5Padding"
      $s3 = "SecretKeySpec"
      $s4 = "FileOutputStream"
      $s5 = "getParameter"
      $s6 = "new ProcessBuilder"
      $s7 = "new BufferedReader"
      $s8 = "readLine()"
   condition:
      filesize < 15KB and 6 of them
}
Soluție
În scopul sporirii protecției și protejării împotriva eventualelor atacuri cibernetice, CERT Orange Moldova recomandă administratorilor de rețea să actualizeze versiunea ADSelfService Plus 6114, până când compania poate implementa un patch. În plus, solicităm să vă asiguraţi că ADSelfService Plus nu este accesibil direct de pe internet.
Adiţional, recomandăm resetarea parolelor la nivel de domeniu și resetarea dublă a parolei Kerberos Ticket Granting Ticket (TGT) dacă se constată că fișierul NTDS.dit a fost compromis.
Acțiuni pentru organizațiile afectate:
 - Deconectați dispozitivul (mașina) de la rețea.
 - Creați o copie a fișierului de rezervă al bazei de date și stocați-l în altă parte.
 - Formatați mașina compromisă.
 - Descărcați și instalați ManageEngine ADSelfService Plus. Construirea unei noi instalări ar trebui să fie aceeași cu cea a copiei de rezervă.
 - Restabiliți copia de rezervă și porniți serverul. Este recomandat să utilizați o configurare hardware diferită pentru noua instalare.
 - Odată ce serverul este în funcțiune, actualizați versiunea ADSelfService Plus la cea mai recentă versiune, 6114, utilizând service pack.
 - Verificați accesul sau utilizarea neautorizată a conturilor. De asemenea, verificați dacă există dovezi ale mișcării laterale de la mașina compromisă la alte mașini. Dacă există indicii ale conturilor Active Directory compromise, inițiați resetarea parolei pentru aceste conturi.

În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert pentru a primi suport instant.

Surse
Mai multe informaţii despre această vulnerabilitate:

Security Advisory - CVE-2021-40539
CVE-2021-40539
Alert (AA21-259A)