Lỗ hổng nghiêm trọng 0-day trên Zoho ManageEngine Password Manager

Đình Lượng
19/09/2021 16:14
D

Lỗ hổng 0-day có mã định danh CVE-2021-40539 giúp hacker vượt qua cơ chế xác thực của ManageEngine ADSelfService Plus để có thể thực thi mã từ xa, mở ra cánh cổng đến với máy chủ quản trị domain Active Directory.

CVE-2021-40539 là một lỗ hổng bảo mật nghiêm trọng trong giải pháp Zoho ManageEngine ADSelfService Plus, có thể cho phép các hacker vượt qua xác thực và có quyền kiểm soát người dùng Active Directory (AD) và tài khoản trên đám mây. Hiện nay, lỗ hổng 0-day này đang được hacker tích cực sử dụng để tấn công các máy chủ ADSelfService đang mở ra mạng internet.

Zoho đã đưa ra một bản vá và cảnh báo rằng quản trị viên nên thực hiện áp dụng bản vá ngay lập tức. Đồng thời khuyến cáo rằng không nên cho phép truy cập công khai dịch vụ web của ADSelfService từ internet. Lỗ hổng này ảnh hưởng đến các phiên bản từ 6113 trở xuống (phiên bản đã sửa là 6114).

Giải pháp Zoho ManageEngine ADSelfService Plus

Zoho ManageEngine ADSelfService Plus là giải pháp quản lý mật khẩu và đăng nhập một lần (SSO) dành cho các Active Directory và đám mây, có nghĩa là bất kỳ hacker nào có thể kiểm soát nền tảng sẽ có khả năng truy cập được vào ứng dụng quan trọng (gồm dữ liệu nhạy cảm) và các phần khác của mạng công ty qua Active Directory.

Đây không phải là lỗ hổng 0-day đầu tiên của Zoho. Vào tháng 3/2020, các nhà nghiên cứu đã công bố một lỗ hổng zero-day trong Zoho’s ManageEngine Desktop Central, một công cụ quản lý giúp người dùng quản lý máy chủ, máy tính xách tay, điện thoại thông minh từ một hệ thống tập trung. Các lỗi nghiêm trọng CVE-2020-10189 cho phép hacker giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng mà không cần phải xác thực.

Lỗ hổng CVE-2021-40539

Theo thông báo của Zoho thì lỗ hổng vượt qua xác thực này nằm trên REST API của ADSelfService Plus, lợi dụng lỗ hổng vượt qua xác thực này, hacker có thể thực thi được mã trên các máy chủ cài đặt dịch vụ.

Điều nghiêm trọng ở đây là việc khai thác lỗ hổng này đã được các hacker thực hiện trong một thời gian dài trước đây. Như vậy các quản trị viên quản lý dịch vụ sẽ cần phải rà soát lại nếu như họ đang cho phép truy cập tới dịch vụ từ internet, nếu phát hiện bất kỳ điều gì bất thường thì việc đổi mật khẩu cho toàn bộ người dùng của Active Directory là điều bắt buộc phải thực hiện.

Hiện nay có rất ít các thông tin chi tiết của lỗ hổng này. Đến thời điểm hiện tại chưa có mã khai thác nào được hiện, tuy nhiên, các quản trị viên vẫn cần nhanh chóng vá lỗ hổng.



Bài twitter của chuyên gia an ninh mạng từ Crowdstrike

Theo chuyên gia an ninh mạng của Crowdstrike thì các cuộc tấn công được ghi nhận hiện nay đều nhắm vào một số mục tiêu cụ thể và có thể xuất phát từ một tổ chức hoặc cá nhân. Hacker có mục tiêu rất có ràng khi xâm nhập và thực hiện thoát ra rất nhanh chóng.

Kiểm tra sự tồn tại của lỗ hổng trên Zoho AD SelfService Plus

Các quản trị viên của dịch vụ có thể kiểm tra xem họ có bị khai thác hay không bằng cách kiểm tra nhật ký truy cập tại thư mục \ManageEngine\ADSelfService Plus\logs theo các URI sau:

•    /RestAPI/LogonCustomization
•    /RestAPI/Connection

Ngoài ra, quản trị viên cũng có thể tìm kiếm các file sau trong thư mục cài đặt ADSelfService Plus nếu đang sử dụng phiên bản tồn tại lỗ hổng:

•    Tập tin có đuôi .cer trong thư mục \ManageEngine\ADSelfService Plus\bin
•    Tập tin có đuôi .jsp trong thư mục \ManageEngine\ADSelfService Plus\help\admin-guide\Reports

Điều quan trọng nhất là hãy cập nhật bản vá mới nhất để tránh bị ảnh hưởng bởi lỗ hổng trong tương lai.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Techcombank cảnh báo chiêu trò lừa đảo thẻ ngân hàng ngày càng tinh vi

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Apple cảnh báo về người dùng iPhone về các cuộc tấn công Mercenary trên quy mô toàn cầu

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Lancs Networks tích hợp FPGA, ARM và PUF bảo vệ hạ tầng số quốc gia

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Tấn công mạng quy mô lớn nhắm vào các tập đoàn công nghiệp châu Á - Thái Bình Dương

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Nền tảng phát triển phần mềm hiện đại đối mặt với nguy cơ tấn công mạng ngày càng gia tăng

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Nhận diện các hình thức lừa đảo ngân hàng và biện pháp phòng tránh

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Fortinet dự báo về mối đe dọa an ninh mạng năm 2025

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Nâng cao nhận thức cộng đồng về lừa đảo trực tuyến

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Meta tăng cường phòng chống lừa đảo trong mùa lễ hội

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

Lừa đảo tài chính tiếp tục đe dọa các công ty khu vực Đông Nam Á

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

An ninh mạng tại Việt Nam đang bị đe dọa nghiêm trọng

Tin mới cập nhật

Google xác nhận tích hợp Gemini AI lên xe Volvo, thách thức Apple CarPlay

Google xác nhận tích hợp Gemini AI lên xe Volvo, thách thức Apple CarPlay

'FPT Chip Inside' có mặt tại Triển lãm SEMICON SEA 2025

'FPT Chip Inside' có mặt tại Triển lãm SEMICON SEA 2025

Nghị định 147/2024/NĐ-CP: Quy định về quản lý Internet và bảo vệ người dùng tại Việt Nam

Nghị định 147/2024/NĐ-CP: Quy định về quản lý Internet và bảo vệ người dùng tại Việt Nam

Cùng 'Case 404' nhập vai ‘Thám tử an ninh mạng’

Cùng 'Case 404' nhập vai ‘Thám tử an ninh mạng’

Home Credit khuấy động mùa hè

Home Credit khuấy động mùa hè

Chính quyền Trump gây tranh cãi khi nhận máy bay phản lực Boeing 747 từ Qatar

Chính quyền Trump gây tranh cãi khi nhận máy bay phản lực Boeing 747 từ Qatar

Phát triển ngành gia cầm Việt Nam theo chuỗi giá trị bền vững

Phát triển ngành gia cầm Việt Nam theo chuỗi giá trị bền vững

LG ra mắt loạt TV AI mới tại sự kiện 'Đột phá AI - Tuyệt đỉnh Thấu cảm'

LG ra mắt loạt TV AI mới tại sự kiện 'Đột phá AI - Tuyệt đỉnh Thấu cảm'

‘Báo chí - truyền thông trong bối cảnh AI phát triển'

‘Báo chí - truyền thông trong bối cảnh AI phát triển'

Liên lạc vệ tinh Seacom: Thiết bị hữu hiệu trong ứng phó thiên tai

Liên lạc vệ tinh Seacom: Thiết bị hữu hiệu trong ứng phó thiên tai

Chính quyền Trump cấm Harvard tuyển sinh sinh viên quốc tế

Chính quyền Trump cấm Harvard tuyển sinh sinh viên quốc tế

MobiFone hợp tác NGS xây dựng an ninh mạng tự chủ tại Việt Nam

MobiFone hợp tác NGS xây dựng an ninh mạng tự chủ tại Việt Nam

Tin đọc nhiều

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Keysight AppFusion giải pháp hiển thị và bảo mật mạng toàn diện

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Colonial Pipeline bị buộc phải điều trần về sự cố vấn công mạng tống tiền

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Giá xăng dầu có thể bị ảnh hưởng khi hệ thống truyền dẫn nhiên liệu lớn nhất nước Mỹ bị tấn công mạng

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Security World 2021 nhận diện thách thức ATTT với những bước tăng trưởng "nóng" của chuyển đổi số

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Cài đặt app giả mạo Bộ Công an bị mất 6,1 tỉ đồng

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Lỗ hổng vượt qua xác thực mã PIN mới ảnh hưởng tới thanh toán Visa

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Camera an ninh có thể báo cho tội phạm mạng biết khi nào bạn không ở nhà

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Xiaomi phát triển công nghệ Mi Air Charge có thể sạc điện thoại từ khoảng cánh xa gần 5m

Xiaomi phát triển công nghệ Mi Air Charge có thể sạc điện thoại từ khoảng cánh xa gần 5m

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Bắc Sơn mây hát

Bắc Sơn mây hát

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019